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网 络 安全 技术 是 计算 机 科学 与 技术 、 网 络 工 程 、 软 件 工 程 等 专业 的 一 门 必修 课 , 是 当今 
通信 与 计算 机 领域 的 热门 课题 。Internet 的 出 现 ,以 及 电子 商务 、 网 络 教育 和 各 种 新 兴业 务 
的 兴起 ,使 人 类 社会 与 网 络 的 联系 越 来 越 紧密 。 当 网 络 逐 步 改变 人 们 的 工作 方式 与 生活 方 
式 时 ,利用 计算 机 网 络 进行 犯罪 的 活动 也 层出不穷 , 它 已 严重 地 危害 了 社会 的 发 展 与 国家 安 
全 。 因 此 ,网 络 安全 已 经 成 为 计算 机 科学 与 技术 等 专业 的 重要 研究 领域 。 

本 书 的 作者 都 具有 多 年 的 网 络 安全 技术 教学 工作 经 验 , 书 中 安排 了 非常 多 的 课业 任务 ， 
凝聚 了 作者 多 年 以 来 的 教学 经 验 与 成 果 。 与 同类 教材 相 比 ,本 书 具有 以 下 特点 : 

(1) 知识 点 以 课业 任务 形式 引领 ,实例 丰富 。 每 一 章 都 有 大 量 的 课业 任务 ,每 一 个 知识 
点 都 是 通过 课业 任务 的 形式 进行 讲解 ,每 一 个 课业 任务 都 有 相关 的 背景 知识 与 相应 的 操作 
步骤 。 把 理论 知识 融入 到 课业 任务 中 ,使 读者 更 容易 学 习 与 消化 ,从 而 提高 读者 的 学 习 
兴趣 。 

(2) 强调 知识 点 的 系统 性 。 网 络 安全 技术 是 一 门 综合 性 的 学 科 , 涉 及 的 学 科 与 技术 比 
较 多 ,本 书 重点 讲解 了 常见 的 网 络 安全 技术 ,如 网 络 攻击 与 防范 ,信息 加 密 技术 、 防 火 墙 技 
术 、VPN 技术 、 入 侵 检测 技术 、 上 网 行为 管理 \ 防 病毒 技术 、 操 作 系 统 安全 等 ,几乎 涵盖 了 网 
络 安 全 的 所 有 重要 知识 点 。 

(3) 强调 知识 点 的 全 面 性 。 本 书 在 讲解 某 一 项 技术 时 ,综合 考虑 了 多 平台 的 技术 解决 
方案 ,分 别 讲解 了 在 Windows 平台、Linux 平台 以 及 Cisco 平台 下 的 不 同 解决 方案 。 例 如 ， 
在 讲解 VPN 技术 时 ,讲解 了 在 Windows 平台 下 远程 访问 VPN 的 实现 ,在 Cisco 平台 下 站 
点 到 站 点 VPN 的 实现 ,以 及 在 Linux 平台 下 IPSec VPN 的 实现 。 

本 书 主要 面向 应 用 型 本 科 与 高 职高 专 学 生 , 既 可 以 作为 高 等 学 校 的 学 生 在 学 习 网 络 安 
全 时 的 教学 辅导 用 书 , 也 可 以 作为 在 校 教师 的 教学 参考 用 书 。 

本 书 由 王 煜 林 、 田 桂 丰 老师 担任 主编 ,由 王 金 恒 、 刘 卓 华 老师 担任 副 主编 。 全 书 由 10 章 
组 成 ,其 中 第 1 章 . 第 2 章 \. 第 3 章 、 第 8 章 由 王 煜 林 老 师 编 写 , 第 9 章 、 第 10 章 由 田 桂 丰 老 
师 编写 ,第 4 章 由 王 煜 林 老 师 与 田 桂 丰 老师 共同 编写 ,第 5 章 、 第 7 章 由 王 金 便 老 师 编写 ,第 
6 章 由 刘 卓 华 老师 编写 。 

广东 技术 师范 学 院 天 河 学 院 计算 机 科学 与 技术 系 的 领导 对 本 书 的 编写 与 出 版 给 予 了 大 
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第 1 章 网 络 安全 概述 


随 着 信息 科技 的 迅速 发 展 以 及 计算 机 网 络 的 普及 ,计算 机 网 络 已 深入 到 国家 的 政府 、 军 
事 、 金 融 、 商 业 等 诸多 领域 ,可 以 说 网 络 无 处 不 在 。 它 在 实现 信息 交流 共享 .为 人 们 带 来 极 大 
便利 和 丰富 社会 生活 的 同时 ,出 于 政治 ,经济 、 文 化 等 利益 的 需求 或 者 好 奇 心 的 驱动 ,网 络 攻 
击 事件 层出不穷 , 且 有 愈演愈烈 之 势 , 轻 者 给 个 人 或 者 机 构 带 来 信息 损害 ,经 济 利益 损失 , 重 
者 将 会 影响 国家 的 政治 、 经 济 和 文化 安全 。 因 此 ,加 强 对 信息 网 络 安全 技术 的 研究 ,无 论 是 
对 个 人 还 是 组 织 ` 机 构 ,甚至 国家 政府 都 有 非 同 寻常 的 意义 。 

» 学 习 目 标 : 

* 了 解 网 络 安全 的 现状 。 

。 掌握 网 络 安全 的 定义 ,基本 要 素 。 

。 掌握 网 络 安全 相关 技术 。 

。 掌握 网 络 安全 实验 平台 的 搭建 。 

» 课业 任务 : 

本 章 通过 3 个 课业 任务 ,学 习 在 各 种 环境 下 网 络 安全 实验 平台 的 搭建 。 

A 课业 任务 1-1 

Bob 是 WYL 公司 的 网 络 安全 运 维 工程 师 , 现 在 在 家 里 办 公 , 不 能 连接 互联 网 ,他 想 完 
成 一 个 由 3 台 计 算 机 组 成 网 络 的 安全 实验 。Bob 使 用 虚拟 机 实现 3 台 计 算 机 互 连 。 

能 力 观测 点 

VMware 虚拟 机 的 网 络 连接 方式 ; 使 用 Host-only 实现 虚拟 机 中 的 客户 机 Windows 
Server 2008, Red Hat Enterprise Linux 6 与 物理 机 Windows XP 互相 通信 。 

A 课业 任务 1-2 

Bob 为 了 保证 公司 用 户 接 入 网 络 的 安全 ,他 在 公司 接 入 层 交 换 机 上 开启 了 端口 安全 ,只 
允许 授权 的 PC 接 入 到 交换 机 从 而 访问 互联 网 。 当 非 授 权 的 PC 接 入 交换 机 后 ,交换 机 就 启 
用 端口 安全 机 制 ,关闭 此 接口 ,直到 管理 员 手 动 启用 此 接口 。 

能 力 观 测 点 

Cisco Packet Tracer 模拟 器 的 使 用 ; 端口 安全 的 配置 与 测试 。 

3 课业 任务 1-3 

Bob 为 了 保证 远程 管理 设备 的 安全 ,他 采用 SSH 远程 管理 方法 来 替代 明文 传送 数据 包 
的 Telnet, Bob 在 路 由 器 上 启用 了 SSH 服务 。 

能 力 观 测 点 

GNS(Graphical Network Simulator) 模 拟 器 的 使 用 ; 路 由 器 上 SSH 服务 的 配置 与 
测试 。 
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1.1 网 络 安全 概况 


1.1.1 网 络 安全 现状 


现在 ,人 们 的 生活 已 经 与 网 络 息息相关 ,如 网 上 购物 、 网 上 银行 .网 上 政务 、 网 上 交流 、 网 
上 教学 等 。 网 络 是 一 把 双 刃 剑 , 给 人 们 的 生活 带 来 了 便利 的 同时 ,也 给 人 们 的 生活 带 来 了 安 
全 威胁 。 中 国 互联 网 络 信息 中 心 (CNNIC) 于 2012 年 7 月 19 日 发布 的 《中国 互 联网 发 展 状 
况 调 查 报告 统计 数据 显示 ,截至 2012 4E 6 月 底 , 中 国 网 民 数量 达到 5. 38 亿 , 互 联网 普及 
率 为 39.9% ,如 图 1.1 所 示 。 可 以 说 ,网 络 已 经 无 处 不 在 ,已 经 深入 到 了 国家 的 政治 、 经 济 、 
文化 以 及 社会 生活 。 正 因为 如 此 ,网 络 安全 问题 也 日 益 突出 。 
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来 源 : CINMIC. 中 国 互联 网 络 发 展 状况 统计 调查 2012.6 
图 1.1 中 国 网 民 规模 和 互联 网 普及 率 


由 于 互联 网 不 断 深 入 人 们 的 生活 ,网络 安 全 事件 层出不穷 ,愈演愈烈 ,以 下 是 近 几 年 发 
生 的 网 络 安全 重大 事件 。 

(1) 2012 年 2 月 4 日 ,黑客 集团 Anonymous 公布 了 一 份 来 自 2012 年 1 月 17 日 美国 
FBI 和 英国 伦敦 警察 厅 的 工作 通话 录音 ,时 长 17 分 钟 ,主要 内 容 是 双方 讨论 如 何 寻 找 证 据 
和 逮捕 Anonymous、LulzSec、Antisec、CSL Security 等 黑客 的 方式 。 目 前 ,FBI 已 经 确认 了 
该 通话 录音 的 真实 性 ,安全 研究 人 员 已 经 开始 着 手 解决 电话 会 议 系 统 的 漏洞 问题 。 

(2) 2011 年 几乎 称 得 上 是 互联 网 的 “资料 泄露 年 "。3 月 份 ,RSA 遭 到 黑客 攻击 ,获取 
认证 的 SecurID 相关 信息 被 窃取 ; 4 月 份 ,“ 索 尼 被 黑 ” 事 件 导 致 黑客 从 索尼 在 线 PlayStation 
网 络 中 窃取 了 7700 万 客户 的 信息 ,包括 信用 卡 账 号 ,这 一 黑客 攻击 事件 导致 索尼 被 迫 关闭 
了 该 服务 并 损失 了 1.7 亿美 元 ; 而 CSDN 泄密 事件 中 ,珍爱 网 .开心 网 猫扑、 天 涯 、 智 联 招 
聘 、 酷 6 网 等 知名 网 站 的 用 户 数据 被 瓷 取 , 数 千 万 用 户 密码 信息 暴露 在 互联 网 上 ,同时 大 量 
用 户 发 现 微 博 账号 支付宝 账号 被 瓷 。 

(3) 2010 年 7 月 25 日 ,“ 维 基 解 密 ” 通 过 英国 ( 卫 报 》、 德 国 ( 明 镜 》 和 美国 (纽约 时 报 ) 公 
布 了 92 000 份 美军 有 关 阿 富 汗 战争 的 军事 机 密 文 件 。10 月 23 日 ,“ 维 基 解 密 ” 公 布 了 


391832 份 美军 关于 伊拉克 战争 的 机 密 文件 。11 H 28 H "HERE EET 25 万 份 美国 
驻 外 使 馆 发 给 美国 国务 院 的 秘密 文 传 电报 。“ 维 基 解 密 ” 是 美国 乃至 世界 历史 上 最 大 规模 的 
一 次 泄密 事件 ,其 波及 范围 之 广 , 涉 及 文件 之 众 均 史无前例 。 该 事件 引起 了 世界 各 国政 府 对 
信息 安全 工作 的 重视 和 反思 。 据 美国 有 线 电 视 新 闻 网 12 月 13 日 报道 ,为 防止 军事 机 密 汇 
露 ,美国 军 方 已 下 令 禁 止 全 军 使 用 USB 存储 器 .CD 光盘 等 移动 存储 介质 。 

(4) 2010 年 9 月 , 奇 虎 360 针对 腾讯 公司 的 QQ 聊天 软件 发 布 了 “360 隐私 保护 器 ”和 
“360 扣 扣 保镖 "两 款 网 络 安全 软件 ,并 称 其 可 以 保护 QQ 用 户 的 隐私 和 网 络 安全 。 腾 讯 公 
司 认为 奇 虎 360 的 这 一 做 法 严重 危害 了 腾讯 的 商业 利益 ,并 称 *360 扣 扣 保镖 ?是 “外 挂 行 
为 。 随 后 ,腾讯 公司 在 11 月 3 日 宣布 将 停止 对 装 有 360 软件 的 计算 机 提供 QQ 服务 。 由 
此 而 引发 了 “3Q 大 战 ”, 同 时 引起 了 360 软件 与 其 他 公司 类 似 产 品 的 一 系列 纷争 ,最 终 演 
变 成 了 互联 网 行业 中 的 一 场 混 战 。 最终,“3Q 大 战 ”在 国家 相关 部 门 的 强力 干预 下 得 以 
平息 ,“360 扣 扣 保镖 ?被 召回 ,QQ 与 360 恢复 兼容 。 但 此 次 事件 对 广大 终端 用 户 造成 了 
恶劣 影响 和 侵害 ,并 由 此 引发 了 公众 对 于 终端 安全 和 隐私 保护 的 困惑 及 忧虑 却 远 没 有 
消除 。 

(5) 2009 年 的 519 断 网 事件 是 由 于 几 家 网 游 私 服 之 间 的 恶性 竞争 引起 的 ,其 中 一 家 以 
网 络 攻击 的 手段 向 为 对 方 解 释 域名 的 DNS 服务 器 DNSPod 发 动 DDoS( 分 布 式 拒绝 服务 ) 
攻击 。 其 本 意 只 想 让 DNSPod 宕 机 ,让 对 手 的 网 游玩 家 不 能 访问 其 游戏 服务 器 。 可 未 曾 想 
到 ,就 是 这 样 的 一 次 网 络 攻击 行为 , 却 最 终 演 变 成 造成 广西 .江苏 ,海南 .安徽 .甘肃 和 浙江 电 
信 宽 带 用 户 网 络 断 网 的 严重 网 络 安全 事件 。 

以 上 只 是 近年 来 影响 比较 大 的 网 络 安全 事件 ,诸如 此 类 的 安全 事件 非常 多 ,每 天 都 有 新 
的 漏洞 与 病毒 在 恶意 地 破坏 网 络 系统 。 在 众多 的 网 络 安全 事件 中 , 主要 网 络 攻击 行为 为 
DDoS 攻击 信息 泄露 .网络 钓 鱼 .蠕虫 病毒 .软件 漏洞 等 。ANVA( 中 国 反 网 络 病毒 联盟 ) 周 
报 在 2012 年 第 48 期 的 互联 网 网 络 安全 指数 整体 评价 中 指出 ,境内 感染 网 络 病毒 的 主机 数 
约 为 217. 9 万 个 , 较 上 周 数量 环比 减少 了 约 13. 1% ; 新 增 网 络 病毒 家 族 5 个 , 较 上 周 新 增 数 
量 增加 了 4 个 ; 境内 被 算 改 政府 网 站 数量 为 48 个 , 占 境 内 被 算 改 网 站 数量 的 7.3%。 图 1.2 
所 示 为 2012 年 10 H 29 日 至 11 月 4 日 的 活跃 互联 网 病毒 类 型 分 布 情况 。 从 图 中 可 以 看 
出 ,主要 的 互联 网 病毒 是 后 门 工具 、 木 马 程序 蠕虫 .黑客 工具 ,流氓 软件 等 。 
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除了 以 上 的 病毒 外 ,软件 漏洞 也 给 网 络 带 来 了 许多 安全 隐患 。2012 年 ,CNVD( 国 家 计 
算 机 网 络 应 急 技 术 处 理 协调 中 心 ) 漏 洞 周 报 第 43 期 (2012 年 10 月 29 日 至 11 月 04 日 ) 共 收 
录 了 113 个 漏洞 。 其 中 ,操作 系统 漏洞 4 个 ,应 用 程序 漏洞 39 个 ,Web 应 用 漏洞 65 个 ,网 络 
设备 漏洞 5 个 ,分 布 情况 如 图 1. 3 所 示 。 
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1.3 2012.10.29— 2012. 11. 04 漏洞 分 布 情况 


如 图 1.3 所 示 , Web 应 用 漏洞 最 多 ,其 次 是 应 用 程序 漏洞 。 大 软件 厂商 成 为 黑客 们 最 
“钟爱 ”的 对 象 ,时 常会 有 超级 危险 的 安全 问题 被 黑客 暴露 出 来 ,就 像 衣服 有 了 破 洞 , 从 而 迫 
使 软件 厂商 不 得 不 经 常 给 自己 的 产品 打 补 丁 。 其 中 ,有 3 家 因为 补丁 数目 超 多 而 被 誉 为 软 
件 界 的 三 大 “乞丐 ”, 分 别 是 Adobe、 微 软 和 Java。 图 1.4 所 示 为 访问 Java 漏洞 制作 的 网 页 ， 
弹出 的 计算 器 可 运行 任意 程序 。 
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图 1.4 Java 漏洞 网 页 


据 了 解 ,在 Adobe 系列 中 , 仅 Flash 搬 件 就 占领 了 2011 年 十 大 重 磅 漏洞 的 4 个 席位 , 近 
期 流行 的 PDF 漏洞 也 让 用 户 非常 担心 ,作为 占有 率 最 高 的 操作 系统 厂商 一 一 微软 也 难 逃 黑 
客 的 “爱慕 ”, 各 种 系统 漏洞 补丁 都 有 可 能 被 黑客 利用 。 而 随 着 Java 用 户 群 的 逐渐 壮大 ,3 
亿 安 装 量 吸引 了 黑客 的 目光 ,使 其 渐渐 成 为 黑客 的 “新 宠 ”,2011 年 12 月 初 , 一 则 披露 
Oracle 公司 Java Applet Rhino 脚本 引擎 存在 远程 执行 代码 高 危 漏洞 的 消息 在 网 络 上 掀起 
轩然大波 便 是 证 明 。 

网 络 钓鱼 (Phishing) 也 是 近年 来 兴起 的 另 一 种 新 型 网 络 攻击 手段 。 黑 客 建 立 一 个 网 
站 ,通过 模仿 银行 .购物 网 站 炒股 网 站 ,彩票 网 站 等 ,诱骗 用 户 访问 。 由 于 成 本 低 , 收 益 大 ， 


钓鱼 网 站 不 仅 种 类 多 了 ,数量 也 迅速 增长 。2011 年 ,除了 传统 的 假 淘宝 网 站 、 假 QQ 网 站 、 
假 网 上 银行 网 站 、 六 合 彩 钓鱼 网 站 等 之 外 ,黑客 又 发 展 假 sina 网 站 、 假 机 票 网 站 、 假 火车 票 
网 站 \ 假 药品 网 站 等 。 可 以 说 , 随 着 互联 网 应 用 的 发 展 ,尤其 是 电子 商务 的 进一步 发 展 ,“ 网 
络 钓鱼 ”正在 高 速 壮大 ,网 民 们 的 生活 则 需要 “ 步 步 小 心 ”, 如 图 1.5 所 示 。 


1.5 网 络 钓 鱼 更 加 独 狂 


2006 年 ,第 38 届 世 界 电信 日 的 主题 是 Promoting Global Cybersecurity( 推 进 全 球 网 络 
安全 ), 人 们 已 经 意识 到 ,网络 安 全 问题 与 大 家 的 生活 已 息息相关 ,全 球 网 络 安全 的 问题 不 能 
依靠 一 个 国家 、 一 个 企业 或 一 种 技术 来 解决 ,这 是 一 项 牵涉 到 政府 .企业 .个 人 和 国际 合作 的 
复杂 工程 ,需要 各 方面 的 共同 努力 。 


1.1.2 网 络 安 全 的 定义 


网 络 安全 是 指 在 分 布 式 网 络 环境 中 对 信息 载体 (处 理 载体 存储 载体 .传输 载体 ) 和 信息 
的 处 理 、 传 输 存储、 访问 提供 安全 保护 ,以 防止 数据 ,信息 内 容 遭 到 破坏 .更 改 ,. 泄 露 ,并 防止 
网 络 服务 中 断 、 拒 绝 服务 、 被 非 授权 使 用 和 算 改 。 从 广义 上 来 说 ,凡是 涉及 网 络 上 信息 的 保 
密 性 ,完整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 都 是 网 络 安全 的 研究 领域 。 网 络 
安全 是 一 门 涉及 计算 机 科学 、 网 络 技 术 、 通 信 技 术 、 密 码 技术 、 信 息 安全 技术 、 应 用 数学 、 数 
论 、 信 息 论 等 多 种 学 科 的 综合 性 学 科 。 

对 网 络 安全 内 涵 的 理解 会 随 着 角色” 的 变化 而 有 所 不 同 , 而 且 在 不 断 地 延伸 和 丰 
富 。 例 如 ,从 用 户 的 角度 来 说 ,他 们 和 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 络 上 传输 
时 受到 机 密 性 、 完 整 性 和 真实 性 的 保护 ,避免 他 人 利用 窃听 、 骨 充 、 自 改 、 抵 赖 等 手段 侵犯 
其 利益 。 

从 网 络 运行 和 管理 者 的 角度 来 说 ,他 们 希望 对 本 地 网 络 信 息 进行 的 访问 、 读 写 等 操作 受 
到 保护 和 控制 ,避免 出 现 陷 门 、 病 毒 、 非 法 存 取 、 拒 绝 服 务 、 网 络 资源 非法 占用 和 非法 控制 等 
威胁 ,制止 和 防御 网 络 黑客 的 攻击 。 

对 安全 保密 部 门 来 说 ,他 们 希望 对 非法 的 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 防 
堵 , 避 免 机 要 信息 泄露 ,避免 对 社会 产生 危害 ,避免 对 国家 造成 巨大 损失 。 

可 见 , 网 络 安全 的 内 涵 与 其 保护 的 信息 对 象 有 关 , 但 本 质 都 是 在 信息 的 安全 期 内 保证 在 
网 络 上 传输 或 静态 存放 时 允许 授权 用 户 访问 ,而 不 被 未 授权 用 户 非 法 访问 。 
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1.1.3 网 络 安全 的 基本 要 素 


网 络 安全 的 基本 要 素 主 要 包括 5 个 方面 。 

1. 机 密 性 

机 密 性 主要 是 防止 信息 在 存储 或 传输 的 过 程 中 被 窃取 。 防 止 数据 被 查看 最 有 效 的 方法 
就 是 加 密 , 在 现代 加 密 体制 中 ,最 典型 的 加 密 算法 是 对 称 加 密 算法 与 非 对 称 加 密 算法 。 

2. 完整 性 

信息 只 能 被 得 到 允许 的 人 修改 ,并 且 能 够 被 判别 该 信息 是 否 已 被 自 改 。 主 要 是 通过 哈 
希 算法 来 保证 数据 的 完整 性 ,典型 的 哈 希 算法 有 MD5 与 SHA1。 

3. 可 用 性 

只 有 授权 者 才 可 以 在 需要 时 访问 该 数据 ,而 非 授 权 者 应 被 拒绝 访问 。 

4. 可 控 性 

对 各 种 访问 网 络 的 行为 进行 监视 ,审计 ,控制 授权 范围 内 的 信息 流向 及 行为 方式 。 

5. 不 可 抵赖 性 

数据 的 发 送 方 与 接收 方 都 无 法 对 数据 传输 的 事实 进行 抵赖 ,主要 是 通过 数字 签名 来 实 
现 不 可 否认 性 。 


1.1.4 网 络 安全 的 标准 


国际 标准 化 组 织 (ISO) 、 国 际 电 气 技术 委员 会 (IEC) 及 国际 电信 联盟 (ITU) 所 属 的 电信 
标准 化 组 织 (ITU. TS) 在 安全 需求 服务 分 析 指 导 、 安 全 技术 机 制 开发 .安全 评估 标准 等 方面 
制订 了 一 些 标准 草案 。 另 外 ,IETF 也 有 9 个 功能 组 讨论 网 络 安全 并 制定 相关 标准 。 

目前 ,国内 外 主要 的 安全 评价 标准 有 以 下 几 个 。 

1. 美国 TCSEC 

该 标准 由 美国 国防 部 制定 ,将 安全 分 为 4 个 方面 , 即 安全 政策 .可 说 明 性 、 安 全 保障 和 文 
档 。 标 准将 上 述 4 个 方面 又 分 为 7 个 安全 级 别 ,从 低 到 高 依次 为 D.Cl1、.C2、B1、B2、B3 和 A 级。 

2. 欧洲 ITSEC 

该 标准 叙述 了 技术 安全 的 要 求 , 把 保密 作为 安全 增强 功能 。 与 TCSEC 不 同 的 是 ， 
ITSEC 把 完整 性 .可 用 性 作为 与 保密 同等 重要 的 因素 。ITSEC 定义 了 从 Eo 级 (不 满足 品 
质 ) 到 E6 级 (形式 化 验证 ) 的 7 个 安全 等 级 ,对 于 每 个 系统 ,安全 功能 可 分 别 定义 。ITSEC 
预定 义 了 10 种 功能 ,其 中 前 5 种 与 TCSEC 中 的 C1 一 B3 级 非常 相似 。 

3. 联合 公共 准则 CC 

它 的 目的 是 把 已 有 的 安全 准则 结合 成 一 个 统一 的 标准 。 该 计划 从 1993 年 开始 执行 ， 
1996 年 推出 第 一 版 ,1998 年 推出 第 二 版 , 现 已 成 为 ISO 标准 。CC 结合 了 TCSEC 及 ITSEC 的 主 
要 特征 ,强调 将 安全 的 功能 与 保障 分 离 ,并 将 功能 需求 分 为 9 类 63 族 ,将 保障 分 为 7 类 29 族 。 

4. ISO 安全 体系 结构 标准 (ISO7498 一 2 一 1989) 

该 标准 在 描述 基本 参考 模型 的 同时 ,提供 了 安全 服务 与 有 关机 制 的 一 般 描 述 ,确定 在 参 
考 模型 内 部 可 以 提供 这 些 服 务 与 机 制 的 位 置 。 

5. 中 华人 民 共 和 国 国家 标准 GB17895. 1999《 计算 机 信息 系统 安全 保护 等 级 划分 准则 》 

该 标准 将 信息 系统 安全 分 为 5 个 等 级 ,分 别 是 自主 保护 级 、 系 统 审 计 保护 级 、 安 全 标记 


保护 级 、 结 构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 验证 ,自主 访问 控 
制 \ 数 据 完 整 性 、 审 计 、 隐 项 信道 分 析 、 客 体重 用 、 强 制 访问 控制 .安全 标记 、 可 信 路 径 和 可 信 
恢复 等 ,这 些 指标 涵盖 了 不 同 级 别 的 安全 要 求 。 网 络 建设 必须 确定 合理 的 安全 指标 ,才能 检 
验 其 达到 的 安全 级 别 。 具 体 实 施 网 络 建设 时 ,应 根据 网 络 结构 和 需求 ,分 别 参 照 不 同 的 标准 
条 款 制 定安 全 指标 。 


1.2 网 络 安全 相关 技术 


网 络 安全 涉及 的 技术 很 多 ,本 书 主要 讲解 了 常见 的 网 络 安全 技术 : 网 络 攻击 与 防范 、 信 
息 加 密 技术 、 防 火 墙 技 术 、 入 侵 检测 技术 与 入 侵 防御 技术 、 防 病毒 技术 、VPN 技术 .上 网 行为 
管理 .操作 系统 安全 等 。 


1.2.1 信息 加 密 技 术 


在 计算 机 网 络 中 ,为 了 保护 数据 在 传输 或 存放 的 过 程 中 不 被 别人 窃听 、 算 改 或 删除 , 必 
须 对 数据 进行 加 密 。 如 图 1. 6 所 示 ,采用 加 密 密 钥 对 敏感 信息 进行 加 密 。 随 着 网 络 应 用 技 
术 的 发 展 ,加 密 技 术 已 经 成 为 网 络 安全 的 核心 技术 ,而 且 融 合 到 大 部 分 安全 产品 之 中 。 加 密 
技术 可 对 信息 进行 主动 保护 ,是 信息 传输 安全 的 基础 ,通过 数据 加 密 消息 摘 要 数字 签名 及 
密 钥 交换 等 技术 ,可 以 实现 数据 保密 性 、 数 据 完整 性 .不 可 否认 性 和 用 户 身 份 真实 性 等 安全 
机 制 , 从 而 保证 了 网 络 环境 中 信息 传输 和 交换 的 安全 。 
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1.2.2 防火 墙 技 术 


防火 墙 是 网 络 的 第 一 道 防线 , 它 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ,以 防 
止 发 生 不 可 预测 的 、 潜 在 破坏 性 的 入 侵 。 如 图 1. 7 所 示 : 防 火 墙 把 网 络 分 隔 成 了 内 部 局 域 
网 、 外 部 互联 网 以 及 非 军事 区 域 DMZ, 主 要 是 保护 内 部 局 域 网 不 被 外 部 用 户 攻 击 。 它 是 不 
同 网 络 或 网 络 安 全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 企业 的 安全 策略 控制 (允许 ,拒绝 、 监 
测 ) 出 人 网 络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻击 能 力 。 


1.2.3 入 侵 检测 技术 与 入 侵 防 御 技 术 


入 侵 检测 与 人 侵 防 御 是 网 络 的 第 二 道 防 线 。 入 侵 检测 是 指 通过 对 行为 .安全 日 志 、 审 计 
数据 或 其 他 网 络 上 可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 冯 和 或 间 入 的 企图 。 

IPS 的 检测 功能 类 似 于 IDS, 但 IPS 检测 到 攻击 后 会 采取 行动 阻止 攻击 。 可 以 说 ,IPS 
是 基于 IDS 的 .是 建立 在 IDS 发 展 的 基础 上 的 网 络 安全 产品 。 如 图 1. 8 所 示 , 当 IDS 检测 
到 互联 网 有 恶意 用 户 对 内 网 实施 攻击 时 ,就 联合 防火 墙 把 攻击 拦截 在 防火 墙 上 。 
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1.2.4 上 网 行为 管理 


上 网 行为 管理 产品 主要 是 对 互联 网 访问 行为 的 全 面 管理 。 本 书 以 市 场 占 有 率 最 高 的 上 

网 行为 管理 深信 服 上 网 行为 管理 产品 为 例 为 大 家 进行 讲解 。 图 1. 9 所 示 为 深信 服 上 网 行为 

管理 产品 的 部 署 方法 。 深 信服 上 网 行为 管理 产品 凭借 强大 的 功能 和 简便 的 操作 ,可 在 网 页 

过 滤 , 行 为 控制 .流量 管理 .防止 内 网 泄密 、 防 范 法 规 风 险 、 互 联网 访问 行为 记录 、 上 网 安全 等 
多 个 方面 提供 最 有 效 的 解决 方案 。 
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图 1.9 上 网 行为 管理 产品 的 部 署 


1.2.5 VPN 技术 


VPN( Virtual Private Network ,虚拟 专用 网 络 ) 被 定义 为 通过 一 个 公用 网 络 ( 通 常 是 因 
特 网 ) 在 两 个 私有 网 络 之 间 建 立 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 混乱 的 公用 网 络 的 安全 , 稳 
定 隧道 。 使 用 这 条 隧道 可 以 对 数据 进行 加 密 , 达 到 安全 使 用 互联 网 的 目的 。VPN 是 对 企业 
内 部 网 的 扩展 。VPN 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 
网 建立 可 信 的 安全 连接 ,用 于 经 济 、 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 联网 VPN。 

VPN 主要 适用 于 两 种 场合 : 一 种 为 远程 访问 VPN, 适 用 于 出 差 用 户 , 如 图 1. 10 所 示 ; 
另 一 种 为 站 点 到 站 点 VPN ,适用 于 公司 总 部 与 公司 分 部 或 企业 合作 伙伴 之 间 建 立 的 VPN， 
如 图 1.11 所 示 。 
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图 1. 10 远程 访问 VPN 
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1.11 站 点 到 站 点 VPN 


1.2.6 防 病毒 技术 


防 病 毒 是 网 络 安全 中 的 重 中 之 重 。 网 络 中 的 个 别 客户 端 感染 病毒 后 ,在 极 短 的 时 间 内 
就 可 能 感染 整个 网 络 ,造成 网 络 服务 中 断 或 瘫痪 ,所 以 局 域 网 的 防 病毒 工作 非常 重要 。 最 常 | 第 
用 的 方法 就 是 在 网 络 中 部 署 企业 版 杀毒 软件 ,比如 Symantec AntiVirus \ 趋 势 科 技 与 瑞星 的 
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网 络 版 杀毒 软件 等 。 图 1. 12 所 示 为 瑞星 网 络 版 杀毒 软件 在 企业 局 域 网 中 的 部 署 方案 。 
1 ---- 一 远程 控制 ! 瑞星 升级 网 站 


图 1.12 瑞星 网 络 版 杀毒 软件 部 署 
1.2.7 操作 系统 安全 


操作 系统 是 人 机 的 接口 。 只 有 通过 操作 系统 才能 管理 好 计算 机 的 硬件 ,以 及 上 层 应 用 
软件 。 所 以 ,操作 系统 的 好 坏 直 接 影响 着 服务 与 应 用 。 现 在 主流 的 操作 系统 是 Windows 与 
3€ UNIX 两 类 操作 系统 。 本 书 以 微软 的 Windows Server 2008 与 红 帽 的 Red Hat 
Enterprise Linux 6 为 例 来 讲解 操作 系统 的 安全 。 


1.3 网络 安全 实验 平台 搭建 


配置 良好 的 实验 环境 是 进行 网 络 安全 实验 的 基础 性 工作 。 通 常 ,网 络 安全 实验 配置 应 
该 具有 两 个 以 上 独立 的 操作 系统 ,并 且 任 意 两 个 操作 系统 可 以 通过 以 太 网 进行 通信 。 在 做 
网 络 安全 实验 时 有 两 个 方面 的 客观 因素 , 即 许多 计算 机 不 具有 联网 的 条 件 和 网 络 安全 实验 
对 系统 具有 破坏 性 ,因此 大 多 数 情况 不 能 提供 多 台 真 实 的 计算 机 ,此 时 可 在 一 台 计 算 机 上 安 
装 一 套 操作 系统 ,然后 利用 工具 软件 虚拟 出 几 套 操作 系统 来 实现 。 其 中 还 应 有 一 套 服务 器 
版 的 操作 系统 ,作为 网 络 安 全 的 攻击 对 象 ,以 便 进行 各 种 网 络 安全 实验 。 本 书 大 多 数 实验 都 
基于 以 下 这 个 平台 。 

1. 网 络 安全 实验 设备 

。 PC 一 台 。 

。 Windows XP 操作 系统 。 

。 虚拟 机 软件 VMware Workstation, 

。 Windows Server 2008 的 ISO 文件 。 

* Red Hat Enterprise Linux 6 的 ISO 文件 。 

* Cisco Packet Tracer 工具 软件 。 

。 GNS3 工具 软件 。 

。 路 由 器 的 IOS 文件 。 


2. 网 络 安全 实验 环境 搭建 步 又 

(1) 在 PC 上 安装 Windows XP 操作 系统 。 

(2) 在 Windows XP 操作 系统 上 安装 VMware Workstation 8, 关 键 步骤 请 见 1. 3. 1 
LEUR 

(3) 在 虚拟 机 中 安装 Windows Server 2008 ,具体 安装 步骤 请 见 1.3.2 小 节 。 

(4) 在 虚拟 机 中 安装 Red Hat Enterprise Linux 6 ,具体 安装 步骤 请 见 1. 3. 3 小 节 。 

(5) 配置 VMware 网 络 环境 ,让 Windows XP, Windows Server 2008 与 Red Hat 
Enterprise Linux 6 之 间 能 够 相互 连通 ,具体 步骤 请 见 1. 3. 4 小 节 。 

(6) 安装 与 配置 Cisco Packet Tracer 软件 ,具体 步骤 请 见 1. 3. 5 小节。 

(7) 安装 与 配置 GNS3 软件 ,具体 步骤 请 见 1. 3. 6 小 节 。 

注意 : 网 络 安全 实验 中 的 许多 程序 属于 木马 和 病毒 程序 ,在 做 实验 的 过 程 中 ,在 主机 和 
虚拟 机 上 不 要 加 载 任何 防火 墙 或 者 防 病 毒 监控 软件 。 


1.3.1 VMware Workstation 8 的 安装 


VMware 的 虚拟 技术 主要 包含 以 下 几 个 重要 特性 : 

(1) 能 够 把 正在 运行 的 虚拟 机 从 一 台 计 算 机 搬移 到 另 一 台 计 算 机 上 , 且 服 务 不 中 断 , 保 
证 虚拟 机 的 高 可 用 性 。 当 服务 器 出 现 故 障 时 ,自动 重新 启动 虚拟 机 。 

(2) 虚拟 架构 增强 了 备份 和 恢复 功能 。 通 过 备份 数量 很 少 的 文件 和 封装 来 备份 整个 虚 
拟 机 ,恢复 虚拟 机 文件 。 用 户 只 需 选择 [创建 快照 3 选项 即 可 完成 备份 ,同时 用 户 可 以 创建 多 
个 快照 ,实现 多 个 备份 。 需 要 恢复 时 ,选择 【还 原 〗 选 项 即 可 。 

(3) 支持 多 个 操作 系统 的 安装 ,如 Windows、Linux 等 。 同 时 支持 一 个 操作 系统 多 个 版 
本 的 安装 ,如 Windows Server 2003, Windows Server 2008, Red Hat Enterprise Linux 5、 
Red Hat Enterprise Linux 6 等 ,非常 方便 。 

(4) 支持 多 个 操作 系统 ,有 for Linux 和 for Windows 安装 包 , 这 样 用 户 就 可 以 在 Linux 
系统 上 安装 多 个 Windows 系统 ,也 可 以 在 Windows 系统 上 安装 多 个 Linux 系统 。 

VMware 官方 网 站 (www. vmware. com) 提 供 免 费 的 VMware-Workstation 软件 供 下 
载 。 在 下 载 前 需 注册 一 个 账号 。 用 户 可 以 根据 本 机 情况 下 载 对 应 的 源码 包 进 行 安 装 。 本 书 
使 用 的 是 VMware Workstation 8。 用 户 可 以 直接 在 www. vmware. com 网 站 下 载 for 
Windows 的 版 本 进行 安装 。 双 击 VMware Workstation 8 自 解压 文件 ,运行 安装 文件 ,系统 
自动 进入 安装 向 导 , 安 装 过 程 中 只 需 一 步 步 地 单 击 Next 按钮 ,最 后 根据 提示 重启 系统 即 可 
完成 安装 。 图 1. 13 所 示 是 VMware Workstation 8 窗口 。 

安装 完 虚拟 机 后 ,就 如 同 组 装 了 一 台 PC, 这 台 PC 需要 安装 操作 系统 。 本 书 1. 3.2 小 
节 将 介绍 在 虚拟 机 中 安装 Windows Server 2008 操作 系统 ,1. 3.3 小 节 将 介绍 在 虚拟 机 中 安 
装 Red Hat Enterprise Linux 6 操作 系统 。 


1.3.2 Windows Server 2008 的 安装 


Windows Server 2008 是 新 一 代 Windows Server 操作 系统 ,是 专 为 强化 新 一 代 网 络 、 应 
用 程序 和 Web 服务 功能 而 设计 的 。Windows Server 2008 操作 系统 不 仅 保留 了 Windows 
Server 2003 的 所 有 优点 ,还 引进 了 多 项 新 技术 。 例 如 使 用 ASLR Address Space Layout 


AARE 


地 一 w 


网 络 安 会 项 大 与 实践 


E 新 于 虚拟 机 虚拟 网 路 编辑 器 
"d SETHE ENEN 
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HSRERB Hot. QO 检查 VMware Workstation 更 新 
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图 1.13 VMware Workstation 8 窗口 


Randomization ,随机 地 址 空间 分 配 ) 技 术 .更 好 的 防火 墙 功 能 以 及 BitLocker 磁盘 加 密 功能 ， 
加 入 了 加 强 诊断 和 监测 的 功能 、 存 储 及 文件 系统 的 改进 功能 ,可 自行 恢复 NTFS 文件 系统 ; 
同时 ,还 加 强 了 管理 ,改写 了 网 络 协议 栈 , 其 中 包括 支持 IPv6 等 功能 。 在 虚拟 机 中 安装 
Windows Server 2008 操作 系统 的 具体 步骤 如 下 : 

(1) 在 图 1.13 所 示 的 VMware Workstation 8 窗口 中 选择 [文件 ]>【 新 建 ]>【 虚 拟 机 】 
命令 ,弹出 新 建 虚拟 机 向 导 , 如 图 1. 14 所 示 。 


欢迎 使 用 新 建 虚拟 机 向 导 


你 想 要 什么 类 型 配置 了 


ORE (推荐 (I 
通过 几 个 简单 步 划 创建 一 个 Workstation 8.0 
mi. 
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图 1.14 新 建 虚拟 机 向 导 


(2) 在 图 1. 14 所 示 的 对 话 框 中 单 击 【 下 一 步 ] 按 钮 ,弹出 如 图 1. 15 所 示 的 【安装 客户 机 
操作 系统 3 对话 框 ,这 里 选择 【我 以 后 再 安装 操作 系统 ] 单 选 按钮 。 


安装 客户 机 操作 系统 
TURAE ， 它 需要 一 个 操作 系统 。 你 格 如 何 安装 客户 机 操作 系 
7 


O seite (so)(M): 


创建 一 个 虚拟 空白 硬盘 。 


ED < 上 - 步 B) | [F—(W) > 取消 
图 1.15 【安装 客户 机 操作 系统 对 话 框 


(3) 在 图 1. 15 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 1. 16 所 示 的 【选择 一 个 客 
户 机 操作 系统 3] 对话 框 ,从 中 设置 要 安装 的 操作 系统 类 型 。 这 里 选择 Microsoft Windows 单 
选 按钮 ,并 在 【版 本 〗 下 拉 列 表 框 中 选择 Windows Server 2008 x64 选项 。 


新 建 虚拟 机 向 导 


选择 一 个 客户 机 换 作 系 统 
哪个 换 作 和 统 格 安 装 到 该 虚拟 机 上 ? 


客户 机 操作 系统 


© Microsoft Wndows 
OLnux 

O Novel Netware 

O Sun Solaris 

O VMware ESX 
O9) 


< 上 一 步 B) [ I-EQ 取消 


图 1. 16 【选择 一 个 客户 机 操作 系统 对 话 框 
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(4) 在 图 1. 16 所 示 的 对 话 框 中 单 击 【 下 一 步 ] 按 钮 ,弹出 如 图 1. 17 所 示 的 【命名 虚拟 
机 对话 框 ,设置 虚拟 操作 系统 的 数据 存放 位 置 及 显示 名 称 。 在 【虚拟 机 名 称 ] 文 本 框 中 输入 
显示 的 名 称 ,一 般 建议 设置 的 名 称 与 虚拟 操作 系统 的 版 本 一 致 ,这 里 输入 “Windows Server 
2008 x64”。 在 【位 置 ] 组 合 框 中 选择 虚拟 操作 系统 的 存放 目录 。Windows Server 2008 x64 
系统 安装 硬盘 大 小 建议 需要 8GB 的 空间 , 且 建 议 设置 的 目录 有 较 大 的 剩余 空间 。 


BENN 
你 想 要 该 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 

Windows Server 2008 x64 
"— 
D:\Windows2008 


可 以 通过 "编辑 > 参数 菜单 来 改 去 默认 位 置 。 


< 上 —(B) | [ 下 一 步 (0) > 


图 1.17 【命名 虚拟 机 】 对 话 框 


(5) 在 图 1.17 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 1. 18 所 示 的 【指定 磁盘 容 
量 ] 对 话 框 。 磁 盘 的 空间 大 小 可 以 任意 输入 ,VMware 不 对 其 数字 进行 判断 。 建 议 输入 的 数 
据 大 小 不 要 超过 本 分 区 的 最 大 剩余 空间 。 这 里 设置 为 40GB。 


(6) 在 图 1. 18 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 1. 19 所 示 的 【准备 创建 虚 
拟 机 了 对话 框 , 在 此 对 话 框 中 列 出 了 虚拟 机 的 相关 设置 。 
新 建 庶 拟 机 向 导 


定 磁盘 容 量 
你 想 要 该 磁盘 多 大 ? 


[和 UOI 这 些 文件 景 初 会 丰 
常 小 ,但 随 著 你 添加 应 用 程序 、 文 件 和 数据 , 它 : 


exigi (GB)(S): 40.0 $ 
Windows Server 2008 x64 推荐 大 小 : 40 GB. 
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< 上 一 步 (B) | 下 一 步 册 > 


图 1.18 【指定 磁盘 容量 ] 对 话 框 


新 建 庶 拟 机 向 导 


礁 备 创建 虚拟 机 
点 击 完成 来 外 娃 虚拟 机 。 然 后 你 可 以 安装 Windows Server 2008 x64. 


虚拟 机 格 控 以 下 设置 被 创建: 


Fi Windows Server 2008 x54 
D: Windows2008. 

版 本 Workstation 8.0 

操作 系统 Windows Server 2008 x64 


硬盘 40 cB, 分 割 
内 存 832 MB 
网 后 适配器 
其 他 设备 : 


NAT 
CD/DVD, vse 控制 器 


[:z-sm][ x 


1.19 【准备 创建 虚拟 机 对话 杠 


(7) 在 图 1. 19 所 示 的 对 话 框 中 单 击 [定制 硬件 了 按钮 ,弹出 如 图 1. 20 所 示 的 【虚拟 机 设 
置 】 对 话 框 ,在 左边 的 【设备 列表 框 中 选择 CD/DVD(IDE) 选 项 ,选中 对 话 框 右边 的 [使 用 
ISO 镜像 文件 了 单 选 按钮 ,并 单 击 [浏览 按钮 ,选择 Windows Server 2008 的 ISO 文件 ,准备 
在 虚拟 机 中 安装 Windows Server 2008。 单 击 【确定 按钮 , 回 到 图 1. 19 所 示 的 对 话 框 中 , 单 
击 【完成 了 按钮 ,虚拟 机 配置 完成 。 
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图 1. 20 【虚拟 机 设置 ] 对 话 框 
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(8) 在 图 1. 21 所 示 的 VMware Workstation 8 窗口 中 , 单 击 工具 栏 上 的 绿色 三 角形 【 启 
动 ] 按 钮 ,启动 虚拟 机 ,开始 安装 Windows Server 2008 操作 系统 。 


fi Windows Server 2008 x64 — YEware Workstation 
文件 Ra 视图 虚拟 机 标签 ”帮助 
>- o9 d | D a E 


起 冶 页 Lj Windows Server 2008 x64 


图 1.21 开始 安装 Windows Server 2008 


(9) 此 时 显示 Windows Server 2008 引导 启动 界面 ,后 面 的 安装 步骤 与 光盘 安装 方式 的 
步骤 一 样 。 图 1. 22 所 示 的 是 Windows Server 2008 的 安装 界面 。 


图 1. 22 Windows Server 2008 安装 界面 


(10) 安装 完成 ,重启 Windows Server 2008 系统 后 ,输入 Administrator 的 密码 , 即 可 登 
录 到 Windows Server 2008 的 系统 桌面 。 


1.3.3 Red Hat Enterprise Linux 6 的 安装 


不 同 的 操作 系统 厂商 发 布 不 同 的 Linux 版 本 ,其 中 最 著名 的 是 Red Hat 公司 的 Red 
Hat 系列 以 及 社区 组 织 的 Debian 系统 ,FC 系统 以 及 Ubuntu 系列 等 。Red Hat Linux 系统 
是 全 球 最 受 欢 迎 的 服务 器 版 操作 系统 ,其 服务 器 的 功能 非常 强大 ,性 能 也 非常 好 ,对 系统 和 
内 核 做 了 很 好 的 调 优 。 大 多 数 企业 都 在 使 用 Red Hat Linux 系统 。 本 书 以 Red Hat 公司 的 
Red Hat Enterprise Linux 6 为 例 进行 介绍 。 

在 VMware Workstation 8 中 使 用 Red Hat Enterprise Linux 6 的 ISO 文件 安装 Red 
Hat Enterprise Linux 6 虚拟 系统 时 ,应 事先 参照 在 虚拟 机 中 安装 Windows Server 2008 操 
作 系 统 的 步骤 对 虚拟 机 进行 相关 设置 。 图 1. 23 所 示 的 是 Red Hat Enterprise Linux 6 的 引 


导 启 动 界 面 ,以 后 的 安装 步骤 与 光盘 安装 方式 步骤 一 样 。 


Welcome to Red Hat Enterprise Linux 6.1? 


or upgrade sting system 
Ins system with video driver 


Rescue installed systen 
Boot from local drive 


Press [Tab] to edit options 


RED HAT’ 
ENTERPRISE LINUX’ 6 


Copyright © 2003-2010 Rea nat, inc. and others, Ali rights reserved 


Æ 1.23 Red Hat Enterprise Linux 6 的 引导 启动 界面 


至 此 ,在 虚拟 机 下 就 成 功 安 装 了 Windows Server 2008 和 Red Hat Enterprise Linux 6 


两 套 系统 ,如 图 1.24 所 示 。 
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图 1.24 安装 好 的 Windows 5 Linux 系统 


1.3.4 VMware Workstation 8 的 网 卡 设 置 


创建 好 虚拟 机 后 ,需要 对 虚拟 机 进行 一 些 配置 ,如 设置 内 存 的 使 用 大 小 ` 是 否 使 用 软驱 、 


设置 系统 安装 源 、 设 置 虚拟 网 卡 类 型 等 。 


在 虚拟 机 中 ,网 卡 配 置 是 相对 难以 理解 的 内 容 。 安 装 在 VMware 软件 中 的 虚拟 机 ,可 
以 通过 不 同 的 方式 与 外 网 进行 通信 。 这 些 方式 的 设置 就 是 对 VMware 软件 中 网 卡 的 配置 。 
其 中 ,网 卡 的 配置 只 是 起 一 个 桥梁 的 作用 。 例 如 ,物理 机 系统 为 Windows 系统 ,客户 机 系统 
(虚拟 机 中 安装 的 系统 ) 为 Linux 系统 。 其 中 , 主 系统 有 一 块 真实 网 卡 ( 本 地 连接 ) 和 两 块 虚 


拟 网 卡 (vmnetl) 和 (vmnet8) ,客户 机 系统 也 有 一 块 网 卡 (eth0 设备 ) ,在 此 处 的 设置 类 似 于 


-个 开关 ,即将 物理 机 系统 的 哪个 接口 与 客户 机 系统 的 eth0 接口 相连 。 可 以 采用 以 下 几 种 


ww 
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方式 进行 连接 。 

方式 1: Bridged 桥 连 方式 。 将 物理 机 系统 的 “本 地 连接 ”接口 与 虚拟 机 系统 的 echo 接 
口 相连 , 当 这 两 个 接口 的 TP 地 址 在 同一 个 网 段 时 相互 能 够 通信 。 此 时 ,系统 就 能 够 访问 物 
理 机 系统 物理 网 络 中 的 所 有 可 以 访问 的 共享 资源 。 此 时 ,客户 机 系统 与 物理 机 系统 一 样 ,都 
是 网 络 上 的 一 台 主 机 。 

方式 2: NAT 连接 方式 。 将 物理 机 系统 的 虚拟 网 卡 vmnet8 接口 与 客户 机 系统 的 eth0 
接口 通过 NAT 方式 相连 ,此 时 客户 机 系统 通过 NAT 共享 物理 机 系统 的 IP 地 址 进行 访问 。 

方式 3: Host-only 连接 方式 。 将 物理 机 系统 的 虚拟 网 卡 vmnetl 接口 与 客户 机 系统 的 
eth0 接口 相连 ,此 时 客户 机 系统 只 能 访问 物理 机 系统 中 的 共享 资源 ,而 不 能 访问 网 络 中 其 
他 主机 的 共享 资源 。 图 1. 25 所 示 为 设置 网 卡 的 连接 方式 。 


det uem | 
设备 ms 设备 状态 
EnF 832 MB 回 已 连接 (9 
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O BEN: 指定 的 虚拟 网 络 


VMnet1 (Host-only) 


1.25 设置 网 卡 的 连接 方式 


39 课业 任务 1-1 

Bob 是 WYL 公司 的 网 络 安全 运 维 工程 师 , 现 在 在 家 里 办 公 , 不 能 连接 互联 网 ,他 想 完 
成 一 个 由 3 台 计 算 机 组 成 网 络 的 安全 实验 。Bob 使 用 虚拟 机 实现 3 台 计 算 机 互联 。 

实现 思路 : 首先 在 物理 机 上 (Bob 的 计算 机 ,在 本 任务 中 统称 物理 机 ) 启 动 虚拟 机 中 的 
客户 机 Windows Server 2008 与 Red Hat Enterprise Linux 6 ,然后 把 VMware 的 网 卡 设置 
成 Host-only 方式 ,此 时 只 要 把 虚拟 机 中 的 客户 机 Windows Server 2008, Red Hat 
Enterprise Linux 6 与 物理 机 中 VMnetl 的 网 络 地 址 设置 成 同一 个 网 段 ,物理 机 就 可 以 与 两 
台 客 户 机 相互 访问 。 


具体 操作 步骤 如 下 : 
CD 启动 Windows Server 2008 ,并 设置 IP 地 址 ,详细 信息 如 图 1. 26 所 示 。 关 闭 防 火 
墙 , 如 图 1. 27 Bron. 
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1.26 设置 Windows Server 2008 IP 地 址 后 图 1.27 关闭 Windows Server 2008 的 防火 墙 
的 详细 信息 


(2) 启动 Red Hat Enterprise Linux 6, 并 设置 IP 地 址 ,关闭 防火 墙 ,命令 如 下 。 


[root(2localhost ~] # ifconfig eth0 192.168.100.3 
[root(2localhost ~] # service iptables stop 


G) 在 物理 机 上 配置 好 VMnetl 的 IP 地 址 ,状态 如 图 1. 28 所 示 。 
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图 1.28 配置 物理 机 上 VMnetl IP 地 址 后 的 状态 


(4) 在 虚拟 机 中 把 Windows Server 2008 与 Red Hat Enterprise Linux 6 客户 机 的 网 络 
类 型 设置 成 为 Host-only, 如 图 1.25 所 示 。 
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(5) 测试 。 在 物理 机 Windows XP 中 ,使 用 ping 命令 测试 是 否 能 访问 Windows Server 
2008 5j Red Hat Enterprise Linux 6 ,命令 如 下 。 


C:\Documents and Settings MAdministrator ping 192.168.100.2 

Pinging 192.168.100.2 with 32 bytes of data: 
Reply from 192.168.100.2: bytes = 32 time = 1ms TTL = 255 
Reply from 192.168.100.2: bytes = 32 time = lms TTL = 255 
Reply from 192.168.100.2: bytes = 32 time = 1ms TTL = 255 
Reply from 192.168.100.2: bytes - 32 time - 16ms TTL - 255 
Ping statistics for 192.168.100.2: 

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli- seconds: 

Minimum = ims, Maximum = 16ms, Average = 4ms 


C:\Documents and SettingsMAdministrator? ping 192.168.100.3 
Pinging 192.168.100.3 with 32 bytes of data: 
Reply from 192.168.100.3: bytes - 32 time - 1ms TTL - 255 
Reply from 192. 168. 100.3: bytes = 32 time = lms TTL = 255 
Reply from 192. 168. 100.3: bytes = 32 time = lms TTL = 255 
Reply from 192.168.100.3: bytes = 32 time = 16ms TTL = 255 
Ping statistics for 192.168.100.3: 
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), 
Approximate round trip times in milli- seconds: 
Minimum = lms, Maximum = 16ms, Average = 4ms 
以 上 结果 说 明了 ,物理 机 使 用 Host-only 方式 能 够 与 VMware 中 的 客户 机 Windows 
Server 2008 与 Red Hat Enterprise Linux 6 相互 通信 。 


1.3.5 Cisco Packet Tracer 的 使 用 


Cisco Packet Tracer 是 一 款 Cisco( 思 科 ) 网 络 设备 模拟 器 ,对 网 络 设备 的 模拟 非常 真 
实 。 在 Cisco Packet Tracer 中 操作 与 在 现实 中 操作 设备 几乎 相当 。 

如 图 1. 29 所 示 ,Cisco Packet Tracer 5 窗口 包括 菜单 栏 、 主 工具 栏 \ 常 用 工具 栏 GE 48 / 
物理 工作 区 转换 栏 ,工作 区 实时 /模拟 转换 栏 、 网 络 设备 库 、 用 户 数 据 包 窗口 等 。 每 一 项 的 
具体 功能 如 下 。 

1. 菜单 栏 

菜单 栏 中 有 文件 .选项 和 帮助 按钮 。 在 此 可 以 找到 一 些 基 本 的 命令 ,如 打开 、 保 存 . 打 印 
和 选项 设置 ,还 可 以 访问 活动 向 导 。 

2. 主 工具 栏 

主 工具 栏 提供 了 命令 的 快捷 方式 ,可 以 单 击 右边 的 网 络 信息 按钮 ,为 当前 网 络 添加 说 明 
信息 。 
3. 常用 工具 栏 
常用 工具 栏 提供 了 常用 的 工作 区 工具 ,包括 选择 、 整 体 移 动 、. 备 注 、 删 除 、 查 看 、 添 加 简单 
数据 包 和 添加 复杂 数据 包 等 。 

4. 逻辑 /物理 工作 区 转换 栏 

用 户 可 以 通过 此 栏 中 的 按钮 完成 逻辑 工作 区 和 物理 工作 区 之 间 的 转换 。 
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在 此 区 域 中 ,用 户 可 以 创建 网 络 拓扑 ,监视 模拟 过 程 ,查看 各 种 信息 和 统计 数据 。 


6. 实时 /模拟 转换 栏 

用 户 可 以 通过 此 栏 中 的 按钮 完成 实时 模式 和 模拟 模式 之 间 的 转换 。 
7. 网 络 设备 库 

该 库 包 括 设备 类 型 库 和 特定 设备 库 。 


CD 设备 类 型 库 : 此 库 包 含 不 同类 型 的 设备 ,如 路 由 器 、 交 换 机 、 集 线 器 、 无 线 设备 、 连 


线 、 终 端 设备 等 。 


(2) 特定 设备 库 : 此 库 包 含 不 同 设备 类 型 中 不 同型 号 的 设备 , 它 随 着 设备 类 型 库 的 选 


择 级 联 显示 。 
8. 用 户 数据 包 窗 口 
此 窗口 管理 用 户 添加 的 数据 包 。 
在 Cisco Packet Tracer 进行 设置 的 具体 操作 步骤 如 下 : 


COD 在 设备 类 型 库 中 选择 设备 ,该 软件 提供 的 主要 设备 有 路 由 器 .交换 机 、 集 线 器、 无线 
设备 .设备 之 间 的 连 线 (Connections) ,终端 设备 ,仿真 广域网 .Custom Made DevicesC BH E 


LRE). 


(2) 在 特定 设备 库 中 选择 特定 设备 类 型 ,比如 Cisco2811 路 由 器 ,将 其 拖 至 窗口 中 间 的 
工作 区 即 可 。 在 常用 工具 栏 中 对 设备 进行 编辑 ,该 工具 栏 中 的 工具 按钮 从 上 到 下 依次 为 选 


AREH 


hw 
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定 / 取 消 \ 移 动 、 备 注 、 删 除 、 查 看 (选中 后 ,在 路 由 器 、.PC 上 可 看 到 各 种 表 , 如 路 由 表 等 )、 添 
加 简单 数据 包 、 添 加 复杂 数据 包 。 

(3) 选择 网 络 设备 之 间 连 接 的 线 缆 , 在 设备 类 型 库 中 选择 Connections 选项 ,在 特定 设 
备 库 中 选择 线 缆 , 常 用 的 线 缆 有 配置 线 直通 线 、 交 叉 线 、. 光 纤 .DCE RR DTE, 

下 面 以 一 个 具体 的 课业 任务 来 讲解 Cisco Packet Tracer 的 使 用 。 

3 课业 任务 1-2 

Bob 为 了 保证 公司 用 户 接 入 网 络 的 安全 ,他 在 公司 接 入 层 交换 机 上 开启 了 端口 安全 ,只 
允许 授权 的 PC 接 和 到 交换 机 从 而 访问 互联 网 。 当 非 授权 的 PC 接 入 交换 机 后 ,交换 机 就 启 
用 端口 安全 机 制 ,关闭 此 接口 ,直到 管理 员 手 动 启用 此 接口 。 

实现 思路 : 首先 在 Cisco Packet Tracer 软件 中 搭建 实验 拓扑 ,再 对 其 环境 进行 基本 配 
置 , 然 后 在 交换 机 的 接口 Fa0/2 口中 实施 端口 安全 实验 ,最 后 对 其 测试 。 

具体 操作 步骤 如 下 : 

(1) 搭建 如 图 1. 30 所 示 的 拓扑 图 。 启 动 Cisco Packet Tracer 软件 ,首先 在 设备 类 型 库 
中 选择 设备 交换 机 ,在 特定 设备 库 中 选择 2960-24 Switch ,将 其 用 鼠标 左 键 拖 至 工作 区 ; HE 
下 来 选择 PC ,在 设备 类 型 库 中 选择 设备 PC, 在 特定 设备 库 中 选择 PC, 将 其 用 鼠标 左 键 拖 至 
工作 区 ,将 第 一 个 被 拖 到 工作 区 的 PC 命名 为 PC0 ,将 第 二 个 被 拖 到 工作 区 的 PC 命名 为 
PC1; 最 后 在 设备 类 型 库 中 选择 Connections ,在 特定 设备 库 中 选择 直通 线 , 使 用 鼠标 将 
PCO,PCI 与 Switch0 的 Fa0/1 5j Fa0/2 相连 。 
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(2) 配置 PC ff IP 地 址 与 子 网 掩 码 ,测试 其 连通 性 。 单 击 PC0 ,在 弹出 的 窗口 中 选择 
Desktop 选项 卡 ,在 IP Configuration 选项 组 中 选择 Static 单 选 按钮 ,在 IP Address 文本 框 
中 输入 PCO 的 IP 地 址 “192. 168. 1. 1". E Subnet Mask 文本 框 中 输入 PCO 的 子 网 掩 码 地 址 
“255. 255. 255. 0”, 如 图 1. 31 所 示 。 用 同样 的 方法 ,配置 PCI 的 IP 地 址 与 子 网 掩 码 ,分 别 
X 192.168. 1. 2,255. 255. 255. 0, 

在 如 图 1. 31 所 示 的 窗口 中 选择 Config 选项 卡 ,在 PCO 的 命令 行 中 输入 “ping 
192. 168. 1. 2” 命 令 , 测 试 PC0 能 否 与 PCI 连通 ,如 图 1. 32 所 示 , PCO 是 可 以 ping iÑ 
PCI 的 。 

G) 配置 端口 安全 。 在 端口 Fa0/2 上 启用 端口 安全 ,只 允许 PCI 这 台 主 机 能 通过 Fa0/2 
口 接 入 到 交换 机 。 如 果 其 他 主机 接 入 到 交换 机 ,交换 机 将 会 关闭 此 端口 。 单 击 交 换 机 
Switch0, 在 弹出 的 窗口 中 选择 CLI 选项 卡 , 对 Switch0 进行 配置 ,配置 命令 如 下 : 
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图 1.31 PCO 的 JIP 地 址 与 子 网 掩 码 设置 
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Switch(config) & interface fa 0/2 

Switch(config- if) # switchport mode access 

Switch(config- if) switch port - security 

Switch(config- if) # switchport port - security mac - address sticky 
Switch(config- if) # switchport port - security violation shutdown 
Switch(config- if) # end 

Switchit show port. security interface fastEthernet 0/2 


Port Security : Enabled 
Port Status : Secure - up 
Violation Mode : Shutdown 
Aging Time : 0 mins 
Aging Type : Absolute 
SecureStatic Address Aging  : Disabled 
Maximum MAC Addresses :1 

Total MAC Addresses :1 
Configured MAC Addresses :0 

Sticky MAC Addresses 和 

Last Source Address:Vlan : 0001.C7E9.46B3:1 
Security Violation Count :0 


(4) 添加 一 台 PC ,测试 端口 安全 。 在 设备 类 型 库 中 选择 设备 PC, 在 特定 设备 库 中 选择 
PC ,将 其 用 鼠标 左 键 拖 至 工作 区 ,将 被 拖 到 工作 区 的 PC 命名 为 PC2 ,参考 步骤 (2) 配 置 PC2 
的 IP 地 址 与 子 网 掩 码 为 192. 168. 1. 3、255. 255. 255. 0。 选 择 常 用 工具 栏 中 的 删除 工具 , 删 
除 连接 交换 机 Switch0 与 PCI 的 直通 线 。 在 设备 类 型 库 中 选择 Connections ,在 特定 设备 库 
中 选择 直通 线 , 使 用 鼠标 将 PC2 与 Switcho 的 Fao/2 相连 ,如 图 1. 33 所 示 。 在 PCO 上 利用 
ping 命令 测试 与 PC2 的 连通 性 时 ,交换 机 Switcho 与 PC2 之 间 的 连接 状态 从 绿色 变 成 了 红 
色 , 即 交换 机 在 Fa0/2 端口 的 端口 安全 功能 把 此 接口 从 up 状态 转变 为 down 状态 了 。 
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单 击 交换 机 Switch0 ,在 弹出 的 窗口 中 选择 CLI 选项 卡 ,查看 交换 机 的 端口 状态 ,此 时 
交换 机 Switch0 的 Fa0/2 接口 的 日 志 信 息 为 administratively down; 查看 端口 Fa0/2 的 端 
口 安全 ,此 时 Switch0 的 Fa0/2 接口 端口 状态 从 之 前 的 Secure-up 转变 成 了 Secure- 
shutdown, 如 图 1. 34 所 示 。 

以 上 实验 说 明 ,Cisco Packet Tracer 是 一 款 很 好 的 工具 ,适合 大 家 用 来 做 与 网 络 安全 相 
关 的 实验 。 本 书后 续 章 节 中 介绍 的 站 点 到 站 点 VPN 实验 就 可 以 使 用 Cisco Packet Tracer 
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configured MAC Addresses :0 
Sticky MAC Addresses :1 
Last Source Address:Vlan — : 0001.C7E3.4683:1 
Security Violation Count :0 


Svitchf 
Switchf 
SLINK-5-CHANGED: Interface Fast&thernet0/2, changed state to administratively do 


un 
SLINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state t 


Switch#show port-security interface fastEthernet 0/2 
Port security 

Port status 

violation Mode 

Aging Time 

Aging Type 

SecureStatic Address Aging : Disabled 
Maximum MAC Addresses :1 

Total MAC Addresses :1 
Configured MAC Addresses :0 

Sticky MAC Addresses 


:1 
Last Source Address:Vlan  : 00D0.FF60.D47D:1 
Security Violation Count 1 


Switch 
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图 1.34 查看 交换 机 的 Fa0/2 端口 安全 情况 


1.3.6 GNS 的 使 用 


GNS(Graphical Network Simulator) 是 一 款 优秀 的 具有 图 形 化 界面 的 可 以 运行 在 多 平 
台 ( 包 括 Windows, Linux, MacOS 等 ) 的 网 络 模拟 器 。GNS3 的 一 个 最 大 优点 是 能 够 模拟 真 
实 的 IOS, 它 不 仅 可 以 模拟 路 由 器 、 交 换 机 ,而 且 还 可 以 模拟 Cisco PIX, Cisco ASA, Cisco 
IDS、Jniper 的 路 由 器 等 设备 。GNS3 不 同 于 Boson NetSim for CCNP 7.0, 也 不 同 于 Cisco 
公司 的 Cisco Packet Tracer 5, 因 为 Boson NetSim for CCNP 7.0 与 Cisco Packet Tracer 5 
都 是 基于 软件 来 模拟 TOS 的 命令 行 的 ,而 GNS3 是 采用 真实 的 IOS 来 模拟 网 络 环境 的 ,这 
是 它 最 大 的 一 个 特点 。 

GNS3 的 窗口 包括 菜单 栏 .工具 栏 . 节 点 类 型 窗 格 .控制 台 窗 格 .拓扑 汇总 窗 格 及 工作 区 
间 。 其 中 ,节点 类 型 窗 格 中 包括 了 很 多 设备 ,以 路 由 器 最 为 丰富 ,包括 Cisco 1700, Cisco 
2600,Cisco 3600, Cisco 7200 平台 的 路 由 器 ,除了 路 由 器 外 ,还 有 交换 机 、PIX firewall, ASA 
firewall; IDS,Jniper router, Frame Relay 交换 机 等 ,因此 可 以 模拟 的 思科 产品 很 多 。 

配置 与 使 用 GNS3 的 大 概 操作 步骤 如 下 : 

(1) 安装 并 配置 GNS3 环境 。 通 过 双击 运行 GNS3 软件 ,在 弹出 的 如 图 1. 35 所 示 的 窗 
口中 选择 [编辑 】I【 命 令 】 ,将 其 语言 设置 为 中 国 。 

(2) 配置 IOS 环境 。 

G) 选择 设备 ,将 合适 的 设备 拖 至 工作 区 。 

(4) 配置 网 络 模 块 。 

(5) 连接 设备 。 

(6) 计算 设备 的 Idle PC 值 ,降低 CPU 使 用 率 。 

(7) 对 设备 进行 配置 。 
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1.35 GNSS3 窗口 


下 面 以 一 个 具体 的 课业 任务 来 讲解 GNS3 的 配置 与 使 用 。 

A 课业 任务 1-3 

Bob 为 了 保证 远程 管理 设备 的 安全 ,他 采用 SSH 远程 管理 方法 来 替代 明文 传送 数据 包 
的 Telnet, Bob 在 路 由 器 上 启用 了 SSH 服务 。 

实现 思路 : 首先 对 GNS 进行 环境 配置 并 搭建 实验 拓扑 , 接 下 来 在 路 由 器 上 启用 SSH. 
最 后 对 其 测试 。 

具体 操作 步骤 如 下 : 

CD 安装 并 配置 GNS3 环境 。 通 过 双击 运行 GNS3 软件 ,选择 [编辑 ]>【 首 选项 ] 命 令 ， 
在 弹出 的 对 话 框 中 设置 Dynamips 运行 的 路 径 ,默认 情况 下 设置 为 C:\Program Files\ 
GNS3\dynamips-wxp. exe, 单 击 【测试 设置 按钮 ,如 果 出 现 [Dynamips 成 功 启动 3 信息 , 则 
表明 设置 成 功 ,Dynamips 设置 如 图 1. 36 所 示 。 

(2) 配置 IOS 环境 。 可 以 从 互联 网 上 下 载 真实 的 IOS. 3€ HE S EIOS 和 
Hypervisors】 命 令 ,在 弹出 的 如 图 1. 37 所 示 的 对 话 框 中 设置 以 下 选项 。 

。 镜像 文件 : 单 击 | 国 | 按钮 ,选择 unzip-c7200-advsecurityk9-mz. 124-11. T. bin 选项 。 


。 平台 : 本 模拟 器 可 以 提供 的 平台 有 c7200、c3600、c2600、c1700 等 ,这 里 选择 c7200 
P^ 
。 型 号 : 这 里 选择 7200 型 号 。 
单 击 【保存 按钮 ,对 以 上 的 设置 进行 保存 。 
(3) 选择 网 络 设备 。 这 里 需要 两 台 c7200 的 路 由 器 ,在 节点 类 型 窗 格 中 选择 Router 
c7200 并 拖 至 工作 区 间 ,重复 本 操作 一 次 ,将 两 台 路 由 器 分 别 命名 为 RA 与 R5。 
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1.36 Dynamips 设置 
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图 1.37 路 由 器 IOS 配置 
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CO 配置 路 由 器 的 网 络 模块 。 用 鼠标 右 击 RA 设备 ,选择 【配置 命令 ,在 弹出 的 如 
图 1. 38 所 示 的 对 话 框 中 选择 [ 插 槽 选项 卡 ,在 slot 0 下 拉 列 表 框 中 选择 C7200-IO-FE 选项 ， 
最 后 单 击 OK 按钮 , 即 可 完成 设备 的 网 络 模块 配置 。 同 理 , 可 设置 R5 设备 的 网 络 模块 配置 。 
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图 1.38 配置 路 由 器 R4 的 网 络 模块 
(5) 设备 间 的 连接 。 单 击 工具 栏 中 的 [添加 链接 了 按钮 , 按 如 图 1. 39 所 示 的 拓扑 连接 好 
设备 。 
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图 1.39 实验 拓扑 


(6) 计算 设备 的 Idle PC 值 ,降低 CPU 使 用 率 。 在 如 图 1. 39 所 示 的 窗口 中 选择 R4, 单 
工具 栏 中 的 绿色 三 角形 【启动 3 按钮 ,启动 RA 路 由 器 。 由 于 事先 没有 设置 路 由 器 的 Idle 
; 值 ,因此 ,此 时 R4 路 由 器 的 CPU 使 用 率 为 100%。 计 算 Idle PC 值 的 方法 是 : 用 鼠标 右 
i RA 路 由 器 ,在 弹出 的 快捷 菜单 中 选择 Idle PC 命令 ,此 时 会 弹出 几 个 值 ,最 大 数值 将 是 最 
合理 的 Idle PC 值 。 计 算 设备 的 Idle PC 值 ,有 利于 降低 CPU 使 用 率 。 用 同样 的 方法 计算 
R5 路 由 器 的 Idle PC 值 。 

(7) 对 设备 进行 配置 。 用 鼠标 右 击 RA 路 由 器 ,在 弹出 的 快捷 菜单 中 选择 Console 命 
令 , 此 时 会 弹出 一 个 Putty 工具 ,可 以 使 用 此 工具 对 RA 路 由 器 进行 配置 ,如 图 1. 40 所 示 。 
用 同样 的 方法 对 R5 路 由 器 进行 配置 。 
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Connected to Dynamips VM "R4* (ID 3, type ) - Console port 
Press ENTER to get the prompt. 


图 1.40 使 用 Putty 管理 GNS 中 的 设备 R4 


本 任务 要 求 在 R4 路 由 器 上 启用 SSH 服务 ,在 R5 路 由 器 上 使 用 ssh 命令 来 远程 管理 
R4 路 由 器 。R4 路 由 器 的 主要 配置 如 下 : 


R4£ conf t 

Enter configuration commands, one per line. End with CNTL/Z. 

R4(config) # ip domain - name thxy. edu. cn 

R4(config) # username thxy password 123456 

R4(config) # line vty 0 4 

R4(config- line) # login local 

R4(config- line) # exit 

R4(config) # crypto key generate rsa 

The name for the keys will be: R4. thxy. edu. cn 

Choose the size of the key modulus in the range of 360 to 2048 for your 
General Purpose Keys. Choosing a key modulus greater than 512 may take 


a few minutes. 


How many bits in the modulus [512]: 
% Generating 512 bit RSA keys, keys will be non- exportable...[OK] 


R4(config)£ 
* Dec 2 16:10:41.391: % SSH- 5 - ENABLED: SSH 1.99 has been enabled 


LEY: 


内 
y 


圳 一 剧 


PARERI RR 


R4(config) # interface fastEthernet 0/0 

R4(config- if) # ip address 192. 168. 100. 1 255. 255. 255.0 
R4(config- if) # no shutdown 

R4(config- if) # exit 


R5 路 由 器 的 主要 配置 如 下 : 


R5#conf t 

Enter configuration commands, one per line. End with CNTI/Z. 

R5(config) # interface fastEthernet 0/0 

R5(config- if) # ip address 192.168.100.2 255.255.255.0 

R5(config- if) # no shutdown 

R5(config- if) # exit 

(8) 测试 。 

CD 测试 R4 路 由 器 与 R5 路 由 器 之 间 的 连通 性 。 在 R5 路 由 器 上 ping R4 路 由 器 。 如 果 
测试 结果 如 下 , 则 说 明 RA 路 由 器 与 R5 路 由 器 之 间 是 连通 的 。 

R5 # ping 192.168.100.1 

Type escape sequence to abort. 

Sending 5, 100 - byte ICMP Echos to 192.168.100.1, timeout is 2 seconds: 


Success rate is 80 percent (4/5), round- trip min/avg/max - 68/83/120 ns 


© 在 R5 路 由 器 上 使 用 ssh 方式 远程 管理 R4 路 由 器 ,如 果 测 试 结果 如 下 , 则 说 明 在 R5 
路 由 器 上 可 以 远程 管理 RA 路 由 器 。 


R5# ssh — 1 thxy 192.168.100.1 
Password: 

Ri» 

Ri» 


1. 选择 题 
(1) 短 时 间 内 向 网 络 中 的 某 台 服 务 器 发 送 大 量 无 效 连接 请 求 , 从 而 导致 合法 用 户 暂 时 
无 法 访问 服务 器 的 攻击 行为 是 破坏 了 ( ^. 
A. 机 密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 
(2) 对 于 Alice 向 Bob 发 送 数字 签名 的 消息 M ,不 正确 的 说 法 是 ( Ns 
A. Alice 可 以 保证 Bob 收 到 消息 M 
B. Alice 不 能 否认 发 送 消息 M 
C. Bob 不 能 编造 或 改变 消息 M 
D. Bob 可 以 验证 消息 M 确实 来 源 于 Alice 
G) 入 侵 检测 系统 是 对 ( ) 的 合理 补充 ,以 帮助 系统 对 付 网 络 攻击 。 
A. 交换 机 B. 路 由 器 C. 服务 器 D. 防火 墙 
(4) 根据 统计 显示 ,80% 的 网 络 攻击 源 于 内 部 网 络 , 因 此 ,必须 加 强 对 内 部 网 络 的 安全 


控制 和 防范 。 下 面 的 措施 中 ,不 能 提高 局 域 网 内 安全 性 的 措施 是 ( D. 


A. 使 用 防 病毒 软件 B. 使 用 日 志 审 计 系统 
C. 使 用 入 侵 检测 系统 D. 使 用 防火 墙 防止 内 部 攻击 
2. 填空 题 
(1) 网 络 安全 的 基本 要 素 主要 包括 š * \ 可 控 性 与 不 可 抵 
赖 性 。 
(2) 是 指 在 分 布 式 网 络 环境 中 对 信息 载体 (处 理 载体 .存储 载体 传输 载 体 ) 和 


信息 的 处 理 , 传 输 、 存 储 、 访 问 提供 安全 保护 ,以 防止 数据 、 信 息 内 容 遭 到 破坏 、 更 改 、 泄 露 ,并 
防止 网 络 服务 中 断 、 拒 绝 服务 ,被 非 授权 使 用 和 自 改 。 

(3) 是 近年 来 兴起 的 另 一 种 新 型 网 络 攻击 手段 ,黑客 建立 一 个 网 站 ,通过 模仿 
银行 .购物 网 站 炒股 网 站 ,彩票 网 站 等 ,诱骗 用 户 访问 。 

(4) 是 网 络 的 第 一 道 防线 , 它 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏 
障 ,以 防止 发 生 不 可 预测 的 、 潜 在 破坏 性 的 入 侵 。 

(5) 是 网 络 的 第 二 道 防线 ,入 侵 检测 是 指 通过 对 行为 、 安 全 日 志 、 审 计数 据 或 
其 他 网 络 上 可 以 获得 的 信息 进行 操作 ,检测 到 对 系统 的 奖 入 或 闻 入 的 企图 。 

(6) 虚拟 机 中 的 网 络 连接 有 3 种 ,分 别 是 桥接 、 和 

(7) 机 密 性 指 确 保 信 息 不 暴露 给 的 实体 或 进程 。 

3. 简 答 题 

(1) 简 述 网 络 安全 的 基本 要 素 。 

(2) 简 述 网 络 安全 主要 研究 哪些 技术 。 

(3) 简 述 Cisco Packet Tracer 与 GNS3 的 区 别 。 


[E EE: 
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第 2 章 网 络 攻击 与 防范 


黑客 ,又 称 骇 客 ,来 源 于 英文 单词 Hacker, 原 意 是 指 那些 精通 操作 系统 和 网 络 技术 ,并 
利用 其 专业 知识 编制 新 程序 的 人 。 这 些 人 往往 都 掌握 非凡 的 计算 机 知识 和 网 络 知识 ,除了 
无 法 通过 正当 的 手段 物理 性 地 破坏 他 人 的 计算 机 和 帮助 他 人 重 装 操作 系统 外 ,其 他 几乎 绝 
大 部 分 的 计算 机 操作 他 们 都 可 以 通过 网 络 做 到 ,例如 监视 他 人 计算 机 、 入侵 网 站 服务 器 并 替 
换 该 网 站 的 主页 .攻击 他 人 计算 机 、 盗 取 计 算 机 中 的 文件 等 。 黑 客 攻击 的 方式 层出不穷 ,但 
是 常见 的 攻击 方式 并 不 多 ,本 章 重 点 讲解 黑客 常见 的 攻击 方式 ,主要 包括 端口 扫描 、 网 络 嗅 
探 \ 破 解密 码 .拒绝 服务 攻击 .ARP 攻击 以 及 木马 攻击 。 

» 学 习 目 标 : 

。 了 解 常见 的 攻击 方法 。 

。 掌握 网 络 端口 扫描 技术 。 

。 掌握 网 络 嗅 探 技术 。 

。 掌握 密码 破解 技术 。 

。 掌握 拒绝 服务 攻击 技术 。 

。 掌握 ARP 攻防 技术 。 

。 掌握 木马 攻 范 技术 。 

» 课业 任务 : 

本 章 通 过 7 个 实际 课业 任务 ,由浅 和 人 深 、 循 序 渐进 地 介绍 黑客 常见 的 攻击 方法 ,以 及 对 
于 常见 攻击 的 一 些 防 范 技术 。 

A 课业 任务 2-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , 他 想 了 解 10. 0. 8. 12 服务 器 的 主机 状态 、 开 放 的 
端口 信息 、 运 行 的 操作 系统 类 型 .从 本 机 到 目标 主机 的 拓扑 图 、 最 后 启动 时 间 等 信息 。 

能 力 观 测 点 

端口 扫描 概念 ; 使 用 Nmap 软件 对 目标 主机 扫描 。 

A 课业 任务 2-2 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , 他 想 了 解 192. 168. 100. 1 服务 器 开放 的 服务 、 
NT-Server 58 O $ „NetBios 信息 、 远 程 操 作 系 统 、FTP 弱 口 令 ,漏洞 检测 脚本 等 相关 信息 。 

能 力 观 测 点 

扫描 软件 原理 ; 使 用 X-Scan 软件 对 目标 主机 扫描 。 

3 课业 任务 2-3 

Bob 是 WYL 公司 的 安全 运 维 工程 师 ,公司 的 交换 机 上 有 4 个 端口 ,1 口 连接 边界 路 由 
器 至 互联 网 ,2、3 口 连 接 内 网 的 PC,4 口 连接 Bob 的 PC。 现在 Bob 在 自己 的 PC 上 安装 了 


Sniffer 软件 ,要 实现 捕获 所 有 上 网 的 数据 和 所 有 内 网 上 的 数据 。 

能 力 观测 点 

端口 镜像 原理 ; 混杂 模式 概念 ; 在 交换 机 上 如 何 实施 端口 镜像 。 

色 课业 任务 2-4 

Bob 所 使 用 计算 机 的 IP 地 址 是 192. 168. 145. 1/24. 7x F] FTP 服务 器 的 IP 地 址 是 
192.168. 145. 2/24, 现 Bob 想 利 用 Wireshark 工具 捕获 访问 FTP 服务 器 的 数据 包 并 进行 分 
Vr ,以 确保 是 授权 用 户 访问 FTP 服务 器 。 

能 力 观测 点 

嗅 探 技术 原理 ; 使 用 Wireshark 软件 捕获 网 络 数据 包 。 

A 课业 任务 2-5 

Bob 所 使 用 计算 机 的 IP 地 址 是 192. 168. 100. 1 ,他 在 上 面 安装 了 一 个 DDoS 攻击 工具 ， 
模拟 攻击 192. 168. 100. 2 的 目标 主机 来 了 解 黑客 的 DDoS 攻击 的 全 过 程 ,以 更 好 地 对 网 络 
进行 安全 维护 。 

能 力 观测 点 

DoS 攻击 原理 ; 使 用 DDoS 攻击 者 实施 对 目标 主机 进行 攻击 。 

3 课业 任务 2-6 

Bob 所 在 公司 的 计算 机 经 常 受 到 ARP 攻击 ,他 利用 绑 定 IP 地 址 与 MAC 地 址 和 安装 
ARP 防火 墙 的 方法 来 防范 。 

能 力 观测 点 

ARP 攻击 原理 ; ARP 攻击 的 防范 。 

3i 课业 任务 2-7 

Bob 为 了 避免 公司 的 计算 机 感染 冰河 木马 ,他 给 公司 员工 提供 了 几 种 防范 木马 的 方法 。 

能 力 观测 点 

木马 概念 ; 木马 攻击 后 的 特征 ; 木马 攻击 的 防范 。 


2.1 端口 扫描 技术 


2.1.1 端口 扫描 简介 


一 个 端口 就 是 一 个 潜在 的 通信 通道 ,也 就 是 一 个 人 侵 通 道 。 对 目标 计算 机 进行 端口 扫 
描 ,能 得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ,可 以 手工 进行 扫描 ,也 可 以 用 端口 扫描 
软件 进行 扫描 。 通 过 手工 进行 扫描 时 ,需要 熟悉 各 种 命令 ,并 能 对 命令 执行 后 的 输出 进行 分 
析 。 用 扫描 软件 进行 扫描 时 ,许多 扫描 器 软件 都 有 分 析 数 据 的 功能 。 本 节 主 要 讲解 通过 
nmap 命令 与 X-Scan 扫描 工具 来 对 远程 主机 进行 扫描 。 

扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 扫描 目标 
主机 ,可 以 不 留 痕迹 地 发 现 远 程 主机 的 各 种 端口 分 配 及 提供 的 服务 和 它们 的 软件 版 本 ,这 就 
能 间接 或 直观 地 了 解 到 远程 主机 所 存在 的 安全 问题 。 

扫描 器 并 不 是 直接 攻击 网 络 漏洞 的 程序 , 它 仅 能 帮助 系统 管理 员 发 现 目标 主机 的 某 些 
内 在 的 弱点 。 一 个 好 的 扫描 器 能 对 它 得 到 的 数据 进行 分 析 , 帮 助 系统 管理 员 查 找 目 标 主机 
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的 漏洞 ,但 不 会 提供 入 侵 一 个 系统 的 详细 步骤 。 扫 描 器 有 3 项 功能 : 一 是 ,发 现 一 个 主机 或 
网 络 的 能 力 ; 二 是 ,一 旦 发 现 一 台 主机 ,就 会 发 现 运行 在 这 台 主 机 上 的 服务 的 能 力 ; 三 是 ， 
通过 测试 这 些 服务 ,发现 漏洞 的 能 力 。 


2.1.2 Nmap 扫描 


Nmap 是 一 款 网 络 扫描 软件 ,用 来 扫描 主机 开放 的 端口 ,确定 哪些 服务 在 运行 ,并 且 推 
断 计算 机 运行 哪个 操作 系统 。 正 如 大 多 数 被 用 于 网 络 安全 的 工具 , Nmap 也 是 不 少 黑客 爱 
用 的 工具 。 系 统管 理 员 利用 Nmap 来 探测 工作 环境 中 不 应 开放 的 服务 ,黑客 利用 Nmap 来 
搜集 目标 主机 的 网 络 配置 ,从 而 制定 攻击 方案 。 

Namp 有 3 个 基本 功能 : 

一 是 ,探测 一 组 主机 是 否 在 线 ; 

二 是 ,扫描 主机 端口 , 嗅 探 所 提供 的 网 络 服务 ; 

三 是 ,推断 主机 所 用 的 操作 系统 。 

A 课业 任务 2-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , 他 想 了 解 10.0. 8. 12 服务 器 的 主机 状态 、 开 放 的 
端口 信息 ,运行 的 操作 系统 类 型 .从 本 机 到 目标 主机 的 拓扑 图 、 最 后 启动 时 间 等 信息 。 具 体 
操作 步骤 如 下 : 

(1) 下 载 Nmap-Zenmap GUI 软件 。 

(2) 安装 Nmap-Zenmap GUI 软件 。 

(3) 打开 Nmap-Zenmap GUI 软件 ,在 Target 文本 框 中 输入 要 扫描 的 目标 主机 的 IP 地 
址 ,本 任务 输入 "10. 0. 8. 12”, 然 后 单 击 Scan 按钮 ,进行 扫描 ,扫描 的 结果 如 图 2.1 所 示 。 

(4) 在 如 图 2. 1 所 示 的 窗口 中 选择 Nmap Output 选项 卡 ,可 以 得 到 主机 10. 0. 8. 12 的 
相关 信息 ,具体 如 下 。 

CD 主机 10.0. 8.12 的 域名 为 dnsl. thxy. edu. cn. 

© 主机 的 状态 是 up. 

© 主机 开放 的 端口 信息 如 表 2.1 所 示 。 

@ 运行 的 操作 系统 类 型 : 内 核 是 Linux 2. 6. 32 .操作 系统 是 Red Hat Enterprise 


Linux。 
表 2.1 主机 开放 的 端口 信息 
Port State Service Version 
22/tcp open ssh OpenSSH 4. 3Cprotocol 2. 0) 
53/tcp open domain ISC BIND 9. 3. 6-4. P1. el5. 4.2 
111/tep open rpcbind 2(RPC #100000) 
10000/tcp open http MiniServ 1. 530(Webmin httpd) 


(5) 在 如 图 2. 1 所 示 的 窗口 中 选择 Ports/ Hosts 选项 卡 ,可 以 得 到 主机 10. 0. 8. 12 开放 
端口 的 详细 信息 ,如 图 2.2 所 示 。 

(6) 在 如 图 2.1 所 示 的 窗口 中 选择 Topology 选项 卡 ,可 以 得 到 本 机 到 达 主 机 10. 0. 8. 12 
的 拓扑 图 ,如 图 2.3 所 示 。 


Scan Tools Profile 


Target: [10.0.6 12 


Help 


M Profile: [Intense sean 


Command: [nmap -T4 -A 


-v 10.0.8. 12 


o ETTES 


Hosp Output [Porta / Hosts] Topology! Host Details] Scans. 


OS 4 Host 
PD dnsl. they. edu cn 


© Lenmap 


Scan Tools Profle Help 


map -T4 -A -v 10.0.8.12 


Nmap scan report for dnsl.thxy.edu.cn (10.8.8.12) 
Host is up (0.605 latency). 

Not shown: 986 closed ports 
PORT STATE — SERVICE 
22/tep open 


VERSION 
OpenSSH 4.3 (protocol 2.0) 


| ssh-hostkey 
|_2848 43:b: 
S3/tcp open 


61:52:57:45:2e:1a (DSA) 
3 (RSA) 
ISC BIND 9.3.6-4.P1.elS 4.2 


| dns-nsid 
|. bind.version: 9.3.6-P1-RedHat-9.3.6-4.P1.e15 4.2 
lll/tcp open ^ rpcbind 2 (RPC 2100000) 

| rpcinfo: 

| program version 
| 100009 2 
| 100000 2 
| 10004 1 
| 

1 


port/proto service 
111/tcp rpcbind 
lll/udp rpcbind 
9B6/udp status 
100024 9B9/tcp status 


3s/tcp 


E 
i 
pen — ttp MiniServ 1.530 (Webmin httpd) 
|_http-favicon: Unknown favicon MOS: SA2006CI67DE04E2626690821857tADl 
[-nttp-git: © 
I-nttp-sethods: No Allow or Public header in OPTIONS response (status code 
200) 
| http-robots.txt 
Im 
|.http-title: Site doesn't have a title (text/html; CharseteUTF-8). 
| namp-version: 
|. ERROR: Failed to get host information from server 
Device type: general purpose 
Running: Linux 2.6.X 
OS CPE: cpe:/oilinux:linux kernel:2.6 
OS details: Linux 2.6.9 - 2.6.30, Linux 2.6.32 
Uptime guess; 41,672 days (since Thu Nov 01 17:41:03 2012) 
Network Distance; 3 hops 
ICE Sequence Prediction: Difficultys193 (Good luck!) 
IP ID Sequence Generation: ALL zeros 
Service Info: 0S; Red Hat Enterprise Linux; CPE: cpe:/ 
o:rbdnat enterprise linux 


1 disallowed entry 


TRACEROUTE (using port 995/tcp) 


图 2.1 Nmap 扫描 主机 的 结果 


Target: [10.0.8.12 


Connand: 


Intense scan 


mmap -T4 -A -v 10.0.8. 12 


Services 


OS 4 Kost 
AY dnsl. thry. edu cn. 


| > 


Jap Output, Ports / Hosts |Topology| Host Details|Scans| 


rpcbind 2 (REC #100000) 
filtered msrpc 

filtered netbios-ssn 

filtered microsoft-ds 

filtered httpcrpc-epsap 

filtered netvenuechat 

filtered NFS-or-IIS 

filtered instl bootc 

filtered krb524 

filtered vncchttp 


filtered vnc 


MiniServ 1.530 Webmin httpd) 


open — http 


图 2.2 主机 10.0. 8. 12 开放 端口 的 详细 信息 
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Scan Tools Profle Help 


Target: [10.0.8.12 M| Profile: [Intense scan 


Command: [nmap -T4 -A -v 10.0.8.12 


osts Wnap Output] Ports / Hosts| Topology Host Details] Scans 
P EUREN 


AY dnsl they. edu en 


Ois thxy edu cn (10.0.8.12) 


bw 
O vogon 


MART 


2.3 本 机 到 达 主 机 10.0. 8.12 的 拓扑 图 


(7) 在 如 图 2. 1 所 示 的 窗口 中 选择 Host Details 选项 卡 ,可 以 得 到 主机 10. 0. 8. 12 的 详 
细 信 息 ,如 图 2.4 所 示 , 具 体 如 下 : 


*» Lenmap 
Scan Tools Profile Help 
Targat: [100.812 司 Profile: [Intense scan 


Command: [nmap -T4 -A -v 10.0.8.12. 


[eir seriem) [ue a rra / nono] TREE ost Dteiis [Sss 


OS iost E J ein en Q0. 
HD insi. they. eèu. en B Host Status 
Stata: 
Open porta: 
Filtered ports 
Closed ports: 


vun 9 
ee 


E Méresses 
IP 10.08.12 
IM: Not available 
MAC: Net available 


日 lostnames 
Nane - Type: dnsl_ they. edu en - PTR 


& Operating System 
Nne: Linux 2.6.9 - 2.6.30 


Accuracy: 
& Ports used 
& 0S Classes 


& TCP Sequence 


$ IP ID Sequence 


E TCP TS Sequence 


E Comments 
> 


图 2.4 主机 10.0.8.12 的 详细 信息 


(D 主机 的 状态 是 up。 

@ 打开 的 端口 有 4 个 。 

© 主机 的 Up time 时 间 是 3 600 481s。 

@ 主机 最 后 启动 的 时 间 是 2012 年 11 月 1 日 17 点 41 分 。 


2.1.3 扫描 器 扫描 


X-Scan 是 “安全 焦点 ?开发 的 一 款 国 内 相当 出 名 的 扫描 工具 ,完全 免费 ,无 需 注 册 ,无 需 
安装 (解压 缩 即 可 运行 ) ,无 需 额 外 驱动 程序 支持 。 因 为 其 拥有 友好 的 操作 界面 和 强大 的 扫 
描 功 能 而 深 受 用 户 喜爱 。 

X-Scan 采用 多 线程 方式 对 指定 TP 地 址 段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 。 
扫描 内 容 包括 远程 服务 类 型 .操作 系统 类 型 及 版 本 、 各 种 弱 口 令 漏洞 .后门 .应 用 服务 漏洞 、 
网 络 设备 漏洞 .拒绝 服务 漏洞 等 二 十 几 个 大 类 。 对 于 多 数 已 知 漏洞 ,给 出 了 相应 的 漏洞 
描述 。 

3 课业 任务 2-2 

Bob 是 WYL 公司 的 安全 运 维 工程 师 ,他 想 了 解 192. 168. 100. 1 服务 器 开放 的 服务 、 
NT-Server $ O 4 „NetBios 信息 ,远程 操作 系统 、FTP 弱 口 令 、 漏 洞 检测 版 本 等 相关 信息 。 
具体 操作 步骤 如 下 : 

(1) 下 载 X-Scan 并 进行 解压 ,通过 双击 打开 X-Scan 的 启动 程序 xscan_gui. exe, 显示 
X-Scan 主 窗口 ,如 图 2.5 所 示 。 


文件 WD) REW EEV IAY) Language MH) 
oO »nunm Gü à 
AG | 漏洞 信息 | 错误 信息 | 


|I-Scan-v3. 3 WARA 


一， 系统 要 求 : Windows WT/2000/XP/2009 
理论 上 可 运行 于 Windows 系列 拘 作 系统 ， 推 荐 运行 于 Windovs 2000 以 上 的 Server 版 indovs 系 统 。 


| 二 .功能 简介 : 


EE E RTE n ria 


d Jaz AL. TRE VAT IS M EO ZO ERUNT 
gu. Max Hd rk . RE RDAS, AS) Ep 示例 插件 源 代 i DRE: Lau p is 


34 “X-Sean” s ttp een elec net/projee 


X-se ERE 
itr 


= rt dub d 
= 件 ， 可 通过 设置 “LANGUASE\SELECTED” 项 进行 语言 切 执 
FI 件 。 用 于 保存 当前 使 用 的 所 有 设置 


- uk 
二 BROZSUTRI mr&aGneme 
B o a nasl) 


图 2.5 X-Scan 主 窗口 


(2) 在 如 图 2. 5 ARKANO e BED 1 9 D di 9 20b i ste S HR BR An EE 2. 6 所 示 
的 窗口 中 ,在 【指定 IP 范围 】 文 本 框 中 输入 要 扫描 的 IP 地 址 ,本 任务 输入 “192. 168. 100. 1", 
在 【指定 IP 范围 】 文 本 框 可 以 输入 独立 的 IP 地 址 或 域名 ,也 可 输入 以 “一 ”和 ”*,” 分 隔 的 IP 
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范围 ,如 “192. 168. 0. 1-20 ,192. 168. 1. 10-192. 168. 1. 254” ,或 类 似 “192. 168. 100. 1/24" fff] 
掩 码 格式 。 


指定 IF 范 围 
[192. 168. 100. 1| 


omes | 


图 2.6 IP 地址 设置 


(3) 在 如 图 2.7 所 示 的 窗口 中 选择 【全 局 设置 3 选项 ,并 将 其 展开 ,选择 【扫描 模块 选 
项 ,本 任务 需要 扫描 加 载 的 插件 ,选择 [开放 服务 【NT-Server 58 H 4 1. ENetBios 信息 】、 
【远程 操作 系统 〗[FTP 弱 口 令 】 【漏洞 检测 脚本 ] 复 选 框 。 选 择 好 后 , 单 击 【确定 3 按钮 ,将 
返回 到 X-Scan 主 界面 。 


v 开放 服务 


V -Server 弱 口令 
* E a 


M EE 


2.7 全 局 设置 


(4) 在 如 图 2. 5 所 示 的 窗口 中 选择 【文件 了 并 开始 扫描 命令 ,开始 扫描 ,扫描 的 结果 如 
图 2. 8 所 示 。 从 图 中 可 以 得 到 开放 的 端口 ,操作 系统 类 型 .FTP 弱 口 令 漏洞 检测 结果 等 信息 。 

(5) 扫描 完成 后 ,将 会 弹出 一 个 网 页 式 的 报表 ,如 图 2.9 所 示 。 从 中 列 出 了 扫描 时 间 、 
检测 结果 ,主机 列表 、 安 全 漏洞 及 解决 方案 等 信息 。 


| X-Scan v3.3 GUI 
文件 WW WEQO 查看 @ IAV Lesen ÉD 
|@Ien me ma E 


BB] 192.169. 100.1 Microsoft Windows 2003/.NET) ”|[ 主 机 
d 开放 服务 

© 445/tep 

© 139/tep 
| © 80/tep 
© 21/tep 

© 1025/tcp. 

© 135/tep. 

Y NetBios 信 息 


< 
Microsoft Windows 2003/. WET 普通 信息 | 漏洞 信息 | 错误 信息 | 


33.3 = zi 3 
ftp [ 空 口令 ] (192.168. 100. 1:21) ERA: http://www. xfocus. net (PIE), http://www. xfocus. org 英文 站 ) 
anonymous/ [FOF] (192. 168. 100. 1:21) 
- [A 漏洞 检测 脚本 
© 445/tep 


E 

Y M6 10 i GRE 

3| Anonymous FTP enabled “开放 服务 “ 
re 27 EHETUS us 


© 139/tep ] “W-Server S30 
目 135/tcp : 


Active thread: 0 


2.8 扫描 结果 


X-Scan Report — Windows Internet Explorer 
A 
CF f) C Meements and Settings \hdninistrator MEN Scand. Leg SC 168 100.1. report. Atal 


XM 4m FEV BRAW IRD Wb 
kear ds aom gl 
E t-sean Report 


ERTEN T AL BEUDPIBIR IIR R, RH REMET UR B RURAL CARI 3 TOSIN son FREA 


2012-12-12 下 年 08:50:53 - 2012-12-12 下 年 08:54:17 


fo Gua) 

network back (328 
[192.168.300.2 [ema sh 
192.168.100.1 etbesns (137140) 
192.168.100.1 DCEJ12345779-1734-abc ef00:01234567890¢ (102547) 
[192.168.100.1 IDCEIS22048-0365-1cf-572- GOo000689700 (1028) 
[192.168.100.1 [0CE/12345678-1234-abcd-ef00-0 12345578985 (1025p) 


(uA 
microsoft ds (445/tzp) 
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VEEE RLE 


网 络 安 会 技术 与 实践 


2.2 RRK E 


2.2.1 ARAR 


嗅 探 器 作为 一 种 能 够 捕获 网 络 数 据 包 的 设备 ,ISS(Internet Security System) 是 这 样 为 
其 定义 的 : 嗅 探 器 (Sniffer) 是 利用 计算 机 的 网 络 接口 截获 目的 地 为 其 他 计算 机 的 数据 报 文 
的 一 种 工具 。 嗅 探 是 一 种 常用 的 收集 数据 的 有 效 方法 ,这 些 数据 可 能 是 用 户 的 账号 或 密码 ， 
也 可 能 是 一 些 商 业 机 密 数 据 等 。 

嗅 探 器 捕获 的 数据 是 计算 机 间接 传送 的 二 进 制 数据 。 因 此 , 嗅 探 程序 必须 使 用 特定 的 
网 络 协议 来 分 解 嗅 探 到 的 数据 ,只 有 这 样 , 嗅 探 器 才能 识别 出 哪个 协议 对 应 于 这 个 数据 片 
段 , 从 而 进行 正确 的 解码 。 

网 络 嗅 探 器 对 信息 安全 的 威胁 在 于 其 被 动 性 与 非 干扰 性 ,这 使 得 网 络 嗅 控 具有 很 强 的 
隐蔽 性 ,往往 让 网 络 信 息 泄密 变 得 不 易 被 发 觉 。 现 在 ,基于 IPv4 的 网 络 对 所 有 的 数据 都 使 
用 明文 传送 ,这 也 就 是 说 ,除非 通信 双方 的 应 用 程序 自 定 义 数据 的 加 密 、 解 密 , 否 则 这 些 信息 
都 将 是 明文 的 。 这 样 就 导致 黑客 利用 嗅 探 器 来 窃取 一 些 私密 的 东西 。 

嗅 探 器 的 作用 主要 是 分 析 网 络 流量 ,以便 找 出 所 关心 的 网 络 中 潜在 的 问题 。 例 如 ,网 络 
上 有 拒绝 服务 攻击 ,可 以 通过 捕获 报 文 分析 到 底 是 哪 一 种 拒绝 服务 攻击 等 。 在 网 络 中 , 嗅 控 
器 对 网 络 管理 员 非 常 重要 ,网络 管理 员 可 以 通过 嗅 探 器 诊断 出 网 络 中 出 现 的 不 可 见 的 模糊 
问题 。 总 而 言 之 , 嗅 探 器 的 主要 作用 如 下 : 

CD 解码 网 络 上 传输 的 报 文 ; 

(2) 为 网 络 管理 员 诊 断 网 络 提供 帮助 ; 

G) 为 网 络 管理 员 分 析 网 络 性 能 提供 参考 发现 网 络 瓶 颈 ; 

(4) 发 现 网 络 人 侵 迹 象 ,为 人 侵 检 测 提 供 参 考 。 

嗅 探 器 分 为 软件 嗅 探 器 与 硬件 嗅 探 器 。 硬 件 嗅 探 器 是 通过 专门 的 硬件 设备 对 网 络 数据 进 
行 捕获 和 分 析 的 ,也 称 为 协议 分 析 仪 。 它 的 优点 是 速度 快 。 软 件 嗅 探 器 基于 不 同 的 操作 系统 ， 
通过 对 网 卡 进行 编程 一 一 实现 ,成 本 较 低 ,但 速度 慢 。 现 在 大 多 数 嗅 探 器 是 基于 软件 的 ,常用 
的 软件 嗅 探 器 有 Sniffer Pro 4. 8、Wireshark、IRIS 等 。 下 面 主要 介绍 开源 嗅 探 工具 Wireshark。 


2.2.2 RLRE 


因为 嗅 探 器 是 在 网 卡 上 来 捕获 网 络 上 的 报 文 的 ,所 以 首先 必须 了 解 网 卡 的 工作 原理 。 
网 卡 是 根据 数据 帧 的 MAC 地 址 来 决定 是 否 接收 该 数据 帧 的 。 

对 于 网 卡 来 讲 有 如 下 4 种 工作 模式 。 

CO 广播 模式 : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 广播 信息 。 

(2) 组 播 模式 : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 组 播 信息 。 

G) 单 播 模式 : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 单 播 信息 ,也 就 是 数据 帧 的 目的 
MAC 是 本 网 卡 的 MAC 地 址 。 

(4) 混杂 模式 : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 一 切 通 过 它 的 数据 ,而 不 管 该 数据 
是 否 是 传 给 它 的 。 


正常 情况 下 ,网 卡 只 处 于 广播 模式 与 单 播 模式 下 。 

在 物理 介质 上 传送 数据 时 ,共享 设备 与 交换 设备 在 处 理 数据 帧 上 是 有 区 别 的 ,下 面 分 别 
讲解 在 共享 环境 与 交换 环境 下 如 何 部 署 嗅 探 器 。 

1. 在 共享 环境 下 的 部 署 嗅 探 器 

共享 环境 主要 采用 Hub 组 网 ,拓扑 是 总 线 的 ,在 物理 上 是 总 线 的 ,其 工作 方式 为 广播 方 
式 。 也 就 是 说 , 当 Hub 接收 到 一 个 数据 时 , 当 它 不 知道 这 个 数据 发 送 到 何 处 时 ,将 采用 广播 
的 方式 进行 发 送 , 除 接收 端口 之 外 的 所 有 端口 都 发 送 。 在 这 种 广播 环境 下 ,主机 A 发 送 给 
主机 B 的 数据 ,主机 C 就 能 收 得 到 ,但 是 主机 C 会 比较 一 下 ,如 果 目 标 MAC 地 址 不 是 自 
己 , 它 将 丢弃 该 帧 。 如 果 主 机 C 要 去 捕获 主机 A 与 主机 B 之 间 的 通信 ,只 要 把 自己 的 网 卡 
设置 成 混杂 模式 即 可 。 

2. 在 交换 环境 下 部 署 嗅 探 器 

交换 网 络 使 用 交换 机 进行 组 网 ,所 以 数据 包 都 是 通过 交换 机 进行 转发 的 。 而 交换 机 主 
要 根据 其 所 维护 的 MAC 地 址 表 来 进行 数据 的 转发 ,而 不 是 进行 广播 ,因此 ,在 交换 环境 下 
比 在 共享 环境 下 复杂 ,具体 部 署 嗅 探 器 有 两 种 方法 : 

CD 使 用 Hub 串 连 在 网 络 当中 。 

(2) 在 交换 机 上 做 端口 镜像 。 

A 课业 任务 2-3 

Bob 是 WYL 公司 的 安全 运 维 工程 师 ,公司 的 交换 机 上 有 4 个 端口 ,1 口 连接 边界 路 由 
器 至 互联 网 ,2、3 口 连接 内 网 的 PC,4 口 连接 Bob 的 PC。 现在 Bob 在 自己 的 PC 上 安装 了 
Sniffer 软件 ,要 实现 捕获 所 有 上 网 的 数据 和 所 有 内 网 上 的 数据 。 

要 捕获 所 有 上 网 的 数据 ,可 采用 上 面 讲 的 在 交换 环境 下 部 署 嗅 探 器 方法 (1) 。 在 交换 机 
与 边界 路 由 器 之 间 放 置 一 个 Hub, 然 后 把 Bob 的 PC BEA SJ Hub 的 一 个 端口 上 ,就 可 以 实 
现 捕获 上 网 的 所 有 数据 。 

要 捕获 所 有 内 网 上 的 数据 ,可 以 采用 上 面 讲 的 在 交换 环境 下 部 署 嗅 探 器 方法 (2) 。 在 交 
换 机 上 做 一 个 端口 镜像 ,命令 如 下 : 


Switch(config) # monitor session 1 source interface fa0/2 - 3 both 
Switch(config) # monitor session 1 destination interface fa0/4 


此 时 就 可 以 捕获 所 有 内 网 上 的 数据 。 
2.2.3 次 探 器 Wireshark 的 基本 操作 


Wireshark 是 当前 非常 流行 的 网 络 协议 分 析 工 具 之 一 , 它 的 前 身 为 Ethereal, 它 与 
Sniffer Pro 并 称 为 网 络 嗅 探 双 雄 。 

1. Wireshark 的 安装 

双击 Wireshark 安装 程序 ,运行 安装 文件 ,只 需 一 步 步 单 击 Next 按钮 ,最 后 根据 提示 重 
启 系统 即 可 完成 安装 。 不 过 需要 特别 注意 ,Wireshark 类 网 络 嗅 探 软件 都 需要 Winpcap 的 
支持 ,因此 需要 安装 Winpcap 软件 。 

2. 使 用 Wireshark 监测 网 络 数 据 

启动 Wireshark 软件 后 ,首先 需要 设置 Wireshark 要 监视 的 网 卡 , 选 择 Capture Options 
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命令 ,或 者 使 用 快捷 键 Ctrl 二 K, 弹 出 如 图 2. 10 所 示 的 窗口 ,在 Interface 选项 后 的 下 拉 列 表 框 
中 选择 要 捕获 的 网 卡 ,然后 单 击 Start 按钮 ,就 可 以 开始 捕获 这 块 网 卡 上 的 数据 包 了 。 


Capture 

Interface: [Loc M| [Marvell Tukon Ethernet Controller: \Devi ce\NFF_{331895DE-CEAA-4C; V. 
IP address: 10.48.0.64 

Lnk-ayer header type: Ethernet v. 
[V] Capture packets in prosiscuous mode 
[ Capture packets in peaprng format [pem 
C Linit each packet to bytes 


i | Cem 
Capture File(s) Display Options- 
Fie: 


Update list of packets in real tine 


[ Use multiple files 


Automatic scrolling in live capture 
| Hide capture info dialog 


Name Resolution 


Enable MAC name resolution 
[O Enable network nane resolution 


Enable transport name resolution 


Start Cancel 


2.10 捕获 选项 窗口 


3. 把 网 卡 设置 成 混杂 模式 
在 如 图 2. 10 所 示 的 窗口 中 选择 Capture packets in promiscuous mode 复 选 框 , 即 可 把 
网 卡 设置 成 混杂 模式 。 
4. 过 滤 数 据 包 
要 捕获 某 一 种 特定 类 型 的 数据 包 , 就 必须 在 如 图 2. 10 所 示 窗 口中 的 Capture Filter 组 
合 框 中 设置 过 滤 规 则 。Capture Filter 的 过 滤 规则 语法 如 表 2. 2 所 示 。 
表 2.2 Capture Filter 过 滤 规 则 语法 


语法 Protocol Direction Host Value Logical Operations Other experssion 


例子 tcp dst 10.1.1.1 80 and src 192. 168. 1. 1 


(1) Protocol 的 可 能 值 : ether, fddi,ip.arp.rarp,decnet,lat, sca, moprc, mopdl,tcp and 
udp。 如 果 没 有 特别 指明 是 什么 协议 , 则 默认 使 用 所 有 支持 的 协议 。 

(2) Direction 的 可 能 值 : src、dst、src and dst,src or dst。 如 果 没 有 特别 指明 来 源 或 目 
的 地 , 则 默认 使 用 src or dst 作为 关键 字 。 

例如 ,host 10. 2. 2.2 与 src or dst host 10. 2.2.2 是 一 样 的 。 

(3) Host(s) 的 可 能 值 : net、port、host、portrange。 

如 果 没 有 指定 此 值 , 则 默认 使 用 host 作为 关键 字 。 

例如 ,src 10.1.1.1 与 src host 10. 1. 1. 1 相同 。 

(4) Logical Operations 的 可 能 值 : not、and、or。 

not 具有 最 高 的 优先 级 。or 和 and 具有 相同 的 优先 级 ,运算 时 从 左 至 右 进 行 。 


例如 : 

not tcp port 3128 and tcp port 23 与 (not tcp port 3128) and tcp port 23 相同 。 

not tcp port 3128 and tcp port 23 与 not (tcp port 3128 and tcp port 23) 不 同 。 

下 面 举例 说 明 表 达 式 的 书写 。 

(1) tep dst port 3128; 显示 目的 TCP 端口 为 3128 的 数据 包 。 

(2) ip src host 10.1.1.1: 显示 源 IP 地 址 为 10.1.1.1 的 数据 包 。 

(3) host 10.1.2. 3; 显示 目的 或 源 IP 地 址 为 10. 1. 2. 3 的 数据 包 。 

(4) sre portrange 2000-2500: 显示 源 为 UDP 或 TCP, 并 且 显 示 端 口号 在 2000 至 2500 
范围 内 的 数据 包 。 

(5) not imcp: 显示 除了 icmp 以 外 的 所 有 数据 包 。 

(6) src host 10. 7. 2. 12 and not dst net 10. 200.0.0/16: 显示 源 IP 地 址 为 10. 7. 2. 12. 
但 目的 地 不 是 10. 200. 0.0/16 的 数据 包 。 

(7) Csrc host 10. 4. 1. 12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and 
dst net 10.0.0. 0/8; 显示 源 IP 为 10. 4. 1. 12 或 者 源 网 络 为 10. 6. 0. 0/16 ,目的 地 TCP 端口 
号 在 200 至 10000 之 间 ,并 且 目 的 地 位 于 网 络 10. 0. 0. 0/8 内 的 所 有 数据 包 。 


2.2.4 使 用 Wireshark 捕获 FTP 数据 包 


3 课业 任务 2-4 

Bob 所 使 用 计算 机 的 IP 地 址 是 192. 168. 145. 1/24, 公 司 FTP 服务 器 的 IP 地 址 是 
192. 168. 145. 2/24, 现 Bob 想 利 用 Wireshark 工具 捕获 访问 FTP 服务 器 的 数据 包 并 进行 分 
Vr ,以 确保 是 授权 用 户 访 问 FTP 服务 器 。 具 体操 作 步 又 如 下 : 

(1) 在 Bob 的 计算 机 上 启动 Wireshark 软件 ,选择 Capture Options 命令 ,在 弹出 窗口 
中 的 Interface 选项 后 的 下 拉 列 表 框 中 选择 要 捕获 的 网 卡 ,然后 单 击 Start 按钮 ,就 可 以 开始 
捕获 这 块 网 卡 上 的 数据 包 了 ,如 图 2. 11 所 示 。 


Capture 
Interface: Local M || Vivare Virtual Ethernet Adapter: \Device\INPF_ [5DFOSAES-SSEl-4CEP- [M 
TP address: 192.168.145.1 
Lnk-ayer header 
Capture packet 
[ Capture packet 
[7] Limit each p | 
- i Serien 

Capture Fle(s) Display Options 
Fe: Update list of packets in real tine 
C Vse multiple files 


$ megabyte(s) 


[7 Automatic scrolling in live capture 
[V] Hide capture info dialog 

Name Resolution 

Enable MAC name resolution 


[7] Enable network nase resolution 


] Enable transport name resolution 


Start Cancel 


Æ 2.11 BE Capture Options 
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(2) Bob 登录 到 FTP 服务 器 后 ,输入 用 户 名 和 密码 ,并 下 载 文件 1. txt, 如 图 


[C:\Documents and Settings\Adninistrator> 
dninistrator> 


Ndninistrator>ftp 19 


c: Documents and 
Jocuments and Setting 
192.168.145 
.8.5) 
C192.168.145.2 
Please 


tting 
-168.145 


<n thxyvang 


specify the pa 
ssword 


ful. 


Login success 


using PASU. 
listing. 
12 


Sep 11 83:16 1. 


日 -BeSeconds 63888. BBKbytes 
sful. 
data 


PASU. 
i.t 


PORT command succe 
Opening BINARY 
File send OK. 
收 到 12 字 节 ， 用 时 


bye 


Consider using 


ode connection for 12 bytes) 


8.88Seconds 12888.808Kbytes/ 


Goodbye. 


Documents and Settings Wdninistrator? 


Documents and Settings dr rator) 


2.12 所 示 。 


图 2.12 登录 FTP 并 下 载 文件 


(3) Bob 退出 FTP 服务 器 后 ,Bob 计算 机 上 的 Wireshark 工具 停止 抓 包 。 
捕获 到 了 FTP 数据 包 , 从 图 中 可 以 分 析 刚 才 登 录 FTP 服务 器 的 用 户 名 


已 经 


thxywang ,密码 为 123456, 


me 


E waware Virtual Ethernet Adapter ireshark 1.6.1 


Go Capture Analyze Statistics 


B a so a axza 


Telephony Took ntemak Help 


v Expression. 


Destination 
192.168.145.1 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 
192.168.145. 


Protocol Length Info 
192.168.145.2 
192.168.145,1 
192.168.145.2 
192.168.145.1 
192.168.145.2 
192.168.145.1 
192.168.145.2 
192.168.145.1 
192.168.145.2 
192.168.145.2 
192.168.145.1 
192.168.145.2 
192.168.145.1 
192.168.145.2 
192.168.145.2 
192.168.145.1 
192.168.145.2 


Request: 
.455352 
.789392 
. 386296 
.386711 
.388269 
.389276 
. 390068 


Request: 
Request: 


Request: 


Request: 


Request: 
.320256 
.321470 
.690540 
. 690822 


Request: 


2 
2 


Frame 7: 74 bytes on wire (592 bits), 
Ethernet II, 
Internet Protocol Version 4, src: 192.168.145.2 (192.168.145.2), 
Transmission Control Protocol, src Port: ftp (21), Dst Por 
File Transfer Protocol (FTP) 


74 bytes captured (592 bits) 


00 
00 
91 
16 
64 


50 
3c 
ol 
do 
20 


56 
Ac 
00 
36 
32 


co 
e3 40 
15 04 
da 00 
2e 30 


00 01 
00 
25 
00 
2e 


00 
40 
5c 


35 


元 
06 
3 


29 


4e 
84 
ed 
20 
0a 


06 
co 
Ob 
28 


5b 08 
a8 91 
11 6b 
76 73 


00 
02 
4a 
46 


45 
co 
50 
54 


00 
as 
18 
50 


"C:\DOCUME~1\ADMINI~1\LOCALS~... | Packets: 62 Displayed: 17 Marked: 0 Dropped: 0 


图 2.13 捕获 后 的 数据 包 


Response: 
7 Response: 
Response: 


Response: 
Response: 


Response: 


Response: 
Response: 


8 Response: 


USER 
331 
PASS 
230 
PORT 
200 
LIST 
150 
226 
PORT 
200 
RETR 
150 
QUIT 


221 


如 图 2.13 


(SVN Rev 38096 from /trunk-1.6)] 


Please specify the password 
123456 

Login successful. 
192,168,145,1,4,39 

PORT command successful. C 


Here comes the directory 1il 
Directory send Ok. 
192,168,145,1,4,40 

PORT command successful. C 
1.txt 

Opening BINARY mode data cd 
File send ox. 


Goodbye. 


Src: Vmware 4e:06:5b (00:0c:29:4e:06:5b), Dst: vmware_c0:00:01 (00:50:56:c0:00:01) 
Dst: 192.168.145.1 (192.168.145.1) 
: kiosk (1061), Seq: 1, Ack: 1, Len: 20 


Profie: Default 


(4) 在 图 2. 13 中 碳 击 选择 的 任何 数据 包 , 在 弹出 的 快捷 菜单 中 选择 Follow TCP 
Stream 命令 ,在 弹出 的 窗口 中 就 可 以 看 到 以 上 使 用 FTP 服务 器 的 全 过 程 ,如 图 2. 14 所 示 。 


Follow ICP Stream 


Stream Content 


220 (vsrTPd 2.0.5) 

USER thxywang 

331 Please specify the password. 

PASS 123456 

230 Login successful. 

PORT 192,168,145,1,4,39 

200 PORT command successful. consider using PASV. 
LIST 

150 Here comes the directory listing. 

226 Directory send OK. 

PORT 192,168,145,1,4,40 

200 PORT command successful. consider using PASV. 
RETR 1.txt 

150 Opening BINARY mode data connection for 1.txt (12 bytes). 
226. File send ok. 


QUT 
221 coodbyes 


Entire conversation (440 bytes) 


Find Save As ( Print © ERCDIC O Hex Dump OC Arrays © Raw 


Help Filter Out Stream 


图 2.14 使 用 FTP 服务 器 的 全 过 程 


(5) 要 捕获 某 一 种 特定 类 型 的 数据 包 ,就 必须 在 如 图 2. 10 所 示 窗 
组 合 框 中 设置 过 滤 规 则 。 本 任务 输入 “ftp-data”, 按 Enter 键 确认 后 , 即 


Lar | 


口中 的 Capture Filter 
可 看 到 如 图 2. 15 所 示 


的 界面 。 从 图 中 分 析 可 以 看 出 ,序号 为 39 的 数据 包 里 面 的 Data 部 分 为 “I like thxy”, 由 此 可 
见 ,FTP 的 数据 包 在 网 络 上 传输 时 是 以 明文 形式 传输 的 ,包括 用 户 名 、 密 码 以 及 数据 部 分 。 


WEware Virtual Ethernet Adapter [Wireshark 1.6.1 (SVN Rev 38096 from /trunk-1.6)] 
Ele Edt View Go aue Analyze Statistics Telephony Took Jnterals Help 


Filter: — (ftp-data w Expression. Clear 


ro. Time Source Protocol Length Info 
25 22.389945 19; € 145.2 1 145. FTP-DAl 129 FTP Data: 63 bytes 
E E FTP-DAT 78 FTP Data: 12 bytes 


S Frame 39: 78 bytes on wire (624 bits), 78 | bytes capuc wa bits) 
$ Ethernet II, Src: : 


Transmission control Protocol, Src Port: ftp-data (20), Dst Port: jstel (1064), Se 
= FTP Data 
FTP Data: I like thxy\n 


00 50 56 cO 00 01 00 Oc 5b 08 00 45 08 
00 40 54 e5 40 00 40 06 a8 91 02 cO a8 
91 01 00 14 04 28 5d 32 e9 bf a6 80 18 
00 5c cc fO 00 00 01 O1 3c db c3 00 00 
00 Q0 49 20 6c 69 6b 65 68 78 79 0a I jike thxy- 


|) Fie: "C:\DOCUME~1\ADMINI~1\LOCALS~... | Packets: 62 DispByed: 2 Marked: 0 Dropped: 0 


图 2.15 FTP 数据 协议 
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2.3 密码 攻防 


2.3.1 操作 系统 密码 攻击 与 防范 


目前 ,流行 的 操作 系统 主要 有 两 类 : 一 类 是 大 家 熟悉 的 Windows 操作 系统 , 另 一 类 是 
类 UNIX 操作 系统 。 本 小 节 以 类 UNIX 操作 系统 Red Hat Enterprise Linux 6 为 例 ,讲解 
在 其 下 如 何 破 解 root 的 密码 ,具体 操作 步骤 如 下 : 

CD 启动 Linux 操作 系统 ,进入 GRUB 菜单 ,如 图 2. 16 所 示 。 


GNU GRUB version 8.97 (638K lower ^ 1846464K upper memory) 


Red Hat Enterpr 
Red Hat Enterprise 


Use the ^ and 4 keys to select which entry is highlighted. 
Press enter to boot the selected OS, 'e' to edit the 
commands before booting, 'a' to modify the kernel arguments 
before booting, or 'c' for a command-line. 


图 2.16 GRUB 菜单 


至 启动 项 , 按 正 键 , 进 入 如 图 2.17 所 示 的 修改 GRUB 
参数 界面 。 


(2) 在 图 2. 16 所 示 的 界面 中 
的 选项 界面 ,从 中 选择 子 菜单 HE UR E BEL EA hne 2. 18 所 示 的 修改 内 核 


GNU GRUB version 8.97 (638K lower ^ 1846464K upper menory) 


root (haB 


Use the + and + keys to select which entry is highlighted. 
Press 'b' to boot, 'e' to edit the selected command in the 
boot sequence, 'c' for a command-line, 'o' to open a meu line 
after ('0' for before) the selected line, 'd' to remove the 
selected line, or escape to go back to the main menu. 


图 2.17 选择 内 核 的 GRUB 子 菜单 


G) 在 如 图 2. 18 所 示 的 修改 内 核 参 数 界面 中 ,在 内 核 参数 后 按 Space 键 , 再 按 1 键 , 按 
Enter 键 确认 ,返回 如 图 2. 17 所 示 的 修改 GRUB 的 选项 界面 , 按 B 键 引导 系统 。 


[ Minimal BASH-like line editing is supported. For the first word, TAB 
lists possible command completions. hnyuhere else TAB lists the possible 
completions of a device/filenane. ESC at any time cancels. ENTER 
at any tine accepts your changes. 1 


HEYBORRDTYPE-pc KEYTRBLE-us rd NO DM 1f 


图 2.18 修改 内 核 参数 界面 


(4) 利用 修改 后 的 内 核 参 数 引 导 系 统 , 将 会 进入 Linux 的 单 用 户 模式 。 在 Red Hat 
Enterprise Linux 6 中 有 一 个 Bug ,必须 先 把 SELinux 设置 为 允许 的 模式 ,才能 使 用 passwd 
修改 密码 ,如 图 2. 19 Bros. 


AA 
fap m 


Telling INIT to go to single user mode 

init: rc main process (11 killed by TERM signal 
[ERAT 

IrootBuuw /]# setenforce 8 

[rootBuww ^1 

[rootBuuu /1# passud 

Changing password for user root 

New password 

BAD Pf it is based on a dictionary word 
BAD PASSW is too simple 

Retype new password 

passwd: all authentication tokens updated successfully 
[rootBwww n 

[rootBwww 71H 


图 2.19 修改 root 


(5) 使 用 新 设置 的 如 果 要 防范 用 户 使 用 单 用 户 模 式 破解 
在 进入 系统 后 修改 GRUB 配置 文件 /etc/grub. conf ,在 title 所 在 的 这 行 前 加 入 password 选 
项 ,如 图 2.20 所 示 


plashimage grub/splash.xpm,gz 
redhat 
mlin 6 roo . r TITTEN 
t rd NO LI rd_NO_MD quiet rd_LUM Uo r r aut 


rd LUM LU-UolGroup root 


el6.i debug . img 


图 2.20 修改 GRUB 配置 文件 


(6) 修改 GRUB 配置 文件 后 ,重新 引导 系统 ,此 时 要 破解 root 密码 
GRUB 的 密码 才 行 ,此 时 的 GRUB 菜单 如 图 2. 21 所 示 。 


道 保护 
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GNU GRUB version 8.97 (638K louer / 18946464K upper memory) 


Red Hat Enterprise L 
Red Hat Enterprise L 


Use the + and + keys to select which entry is highlighted. 
Press enter to boot the selected OS or 'p' to enter a 
password to unlock the next set of features. 


图 2.21 GRUB 菜 单 
2.3.2 Office 文档 加 密 


为 了 保障 系统 中 的 Office 文件 安全 ,可 以 对 不 同 的 文件 进行 加 密 。 下 面 以 Word 为 例 
讲解 Word 文档 的 加 密 与 解密 。 

1. Word 文档 加 密 

启动 Word 2003 ,选择 [工具 了 并 选项 ] 命 令 ,在 弹出 的 【 对话 框 中 选择 [安全 性 ] 选 
项 卡 ,从 中 可 以 为 文档 设置 【打开 文件 时 的 密码 】 与 【修改 文件 时 的 密码 选项 ,如 图 2. 22 
所 示 。 

在 如 图 2 


22 所 示 的 对 话 框 中 单 击 【 高 级 ] 按 钮 ,在 弹出 的 对 话 框 中 可 以 设置 文档 加 


拼写 和 语法 | 修订 | APRE | SM | 中 文 版 式 | 文件 位 置 
视图 编辑 打印 ma | 安全 性 
此 文档 的 文人 页 
TIXPERMRUSARQ): [eene Law...) 
SNEEN 
EBENE: [ees 
ORRURIEDRAIFXLE QD 
] mro 
隐秘 选项 
口 保存 时 从 文件 尾 性 中 髓 除 个 人 信息 @) 
印 ， 保 存 于 发 送 包含 修订 或 批注 的 文件 之 前 结 出 警告 0 
铺 用 于 增强 合并 精确 性 的 随机 编号 CD T gee 
FERTIER D Di Cereteererhie Provi der 
der v1.0 
Cryptopr sphie Provider 
giplgeEssemaerr. SE [EEXEGD ] FCA, Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype) M 
mYESRESE S. NIS ARSED: [0 
ANELAR D 


wz ) xm 


图 2.22 为 Word 文档 加 密 图 2.23 选择 加 密 类 型 


2. 破解 Word 文档 密码 
有 很 多 工具 可 以 破解 Word 文档 密码 ,本 部 分 以 Advanced Office Password Recovery 
LR fil ,讲解 Word 文档 的 破解 。 


(1) 启动 Advanced Office Password Recovery, 弹 出 如 图 2. 24 所 示 的 窗口 。 
回回 四 


$] Advanced Office Password Recovery Professional Edition — 无 标题 


打开 文件 … MS 通行 证 ^ Ms Outook vea 后门 


RE ah CA | 选项 | 系统 信息 | 密码 缓存 
针对 强加 密 文 档 的 破解 类 型 
ORDER ( 尝试 所 有 可 能 的 组 合 》 
名 掩 码 式 暴力 破解 ( 若 已 获知 部 分 密码 符号 ) 
OFRER OET) 
文件 名 称 : 


事件 
sa  AOPR 5.03 Professional Editon 已 加 载 
此 拘 作 系统 版 本 : Windows XP [5. 1.2600] Service Pack 3 


CPU: 2, NVidia CUDA: 0, ATI CAL: 1 


Q) 2012-12-10 下 午 09... 


当前 密码 ; 
进度 指示 器 
殿 家 隆 及 商业 用 户 的 授权 ( 单机 》 
[Advanced Office Password Recovery Professional Edition, 版 本 5.03. Copyright 71999-2010 ElcomSoft Co. Ltd 


2.24 Advanced Office Password Recovery 窗口 


(2) 在 如 图 2. 24 所 示 的 窗口 中 单 击 【 打 开 文件 3 按钮 ,选择 要 破解 的 文件 , 单 击 工 具 栏 
的 【开始 了 按钮 ,进行 破解 ,如 图 2. 25 所 示 , 当 前 选择 文件 的 打开 密码 是 asdf, 写 保护 密码 也 


是 asdf。 
YM Advanced Office Password Recovery Professional Edition ~ abc. doc 


图 2.25 破解 Word 文档 密码 


dw 
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2.4 拒绝 服务 攻防 


2.4.1 拒绝 服务 攻击 简介 


DoS(Denial of Service) 攻 击 的 含义 是 拒绝 服务 攻击 ,这 种 攻击 行动 在 众多 的 攻击 技术 
中 是 一 种 简单 有 效 且 危害 性 很 大 的 一 种 攻击 方法 。DoS 攻击 是 指 故意 攻击 网 络 协议 实现 的 
缺陷 ,或 直接 通过 野蛮 手段 耗 尽 被 攻击 对 象 的 资源 ,目的 是 让 目标 计算 机 或 网 络 无 法 提供 正 
常 的 服务 或 资源 访问 ,使 目标 系统 服务 停止 响应 甚至 崩溃 。 

常见 的 拒绝 服务 攻击 有 SYN Flood 攻击 、Land Hit Smurf 攻击 .UDP Flood 攻击 等 。 

1. SYN Flood 攻击 

SYN Flood 攻击 是 一 种 通过 向 目标 服务 器 发 送 SYN 报 文 ,消耗 其 系统 资源 ,削弱 目标 
服务 器 的 服务 提供 能 力 的 行为 。 一 般 情况 下 ,SYN Flood 攻击 是 在 采用 IP 源 地 址 欺骗 行为 
的 基础 上 ,利用 TCP 连接 建立 时 的 3 次 握手 过 程 形成 的 。 

众所周知 ,一 个 TCP 连接 的 建立 需要 双方 进行 3 次 握手 ,只 有 当 3 次 握手 都 顺利 完成 ， 
一 个 TCP 连接 才能 成 功 建立 。 当 一 个 系统 ( 称 为 客户 端 ) 请 求 与 另 一 个 提供 服务 的 系统 ( 称 
为 服务 器 ) 建 立 一 个 TCP 连接 时 ,双方 要 进行 以 下 消息 交互 : 

。 客户 端 向 服务 器 发 送 一 个 SYN 消息 ; 

。 如 果 服 务 器 同意 建立 连接 , 则 响应 客户 端 一 个 对 SYN 消息 的 回应 消息 (SYN/ 

ACK); 

。 客户 端 收 到 服务 器 的 SYN/ACK 以 后 ,再 向 服务 器 发 送 一 个 ACK 消息 进行 确认 。 

。 当 服 务 器 收 到 客户 端的 ACK 消息 以 后 ,一 个 TCP 的 连接 成 功 完 成 。 

连接 的 建立 过 程 如 图 2. 26 所 示 。 

在 上 述 过 程 中 , 当 服务 器 收 到 SYN 报 文 后 ,在 发 送 SYN/ACK 回应 客户 端 之 前 ,需要 
分 配 一 个 数据 区 记录 这 个 未 完成 的 TCP 连接 ,这 个 数据 区 通常 称 为 TCB 资源 ,此 时 的 
TCP 连接 也 称 为 半 开 连接 。 这 种 半 开 连接 仅 在 收 到 客户 端 响应 报 文 或 连接 超时 后 才 断 开 ， 
而 客户 端 在 收 到 SYN/ACK 报 文 之 后 才 会 分 配 TCB 资源 ,因此 这 种 不 对 称 的 资源 分 配 模 
式 会 被 攻击 者 所 利用 ,形成 SYN Flood 攻击 。 

如 图 2. 27 所 示 ,攻击 者 使 用 一 个 并 不 存在 的 源 IP 地 址 向 目标 服务 器 发 起 连接 ,该 服务 
器 回应 SYN/ACK 消息 作为 响应 ,由 于 应 答 消息 的 目的 地 址 并 不 是 攻击 者 的 实际 地 址 ,所 
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图 2.26 TCP 连接 的 建立 过 程 图 2.27 SYN Flood 攻击 原理 图 


以 这 个 地 址 将 无 法 对 服务 器 进行 响应 。 因 此 ,TCP 握手 的 最 后 一 个 步骤 将 永远 不 可 能 发 
生 , 该 连接 就 一 直 处 于 半 开 状态 ,直到 连接 超时 后 被 删除 。 如 果 攻 击 者 用 快 于 服务 器 TCP 
连接 超时 的 速度 连续 对 目标 服务 器 开放 的 端口 发 送 SYN 报 文 , 则 服务 器 的 所 有 TCB 资源 
都 将 被 消耗 ,以 致 不 能 再 接收 其 他 客户 端的 正常 连接 请 求 。 

为 保证 服务 器 能 够 正常 提供 基于 TCP 协议 的 业务 ,防火 墙 必须 能 够 利用 有 效 的 技术 瓦 
解 以 及 主动 防御 SYN Flood 攻击 。 

如 图 2. 28 所 示 ,管理 员 可 以 根据 被 保护 服务 器 的 处 理 能 力 设 置 半 开 连接 数 阔 值 。 如 果 
服务 器 无 法 处 理 客户 端的 所 有 连接 请 求 , 就 会 导致 未 完成 的 半 开 连接 数 ( 即 客户 端 向 服务 器 
发 起 的 所 有 半 开 连接 数 和 完成 了 握手 交互 变 成 全 连接 的 半 开 连接 数 之 差 ) 超 过 指定 阅 值 ,此 
时 ,防火 墙 可 以 判定 服务 器 正在 遭受 SYN Flood 攻击 。 


Firewall =E] 
cron i — - Jti 
SYN SYN 
-| 
SYN/ACK SYN/ACK 
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SYN SYN 


SYN/ACK SYN/ACK 


分 配 TCB 资 源 
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2.28 防火 墙 检测 SYN Flood 攻击 


如 图 2. 29 所 示 , 当 防火 墙 检测 到 客户 端 与 服务 器 之 间 的 当前 半 开 连接 数目 超过 半 开 连 
接 数 阔 值 时 ,所 有 后 续 的 新 建 连接 请 求 报 文 都 会 被 丢弃 ,直到 服务 器 完成 当前 的 半 开 连接 处 
理 , 或 当前 的 半 开 连接 数 降 低 到 安全 阔 值 ,防火 墙 才 会 放 开 限制 ,重新 允许 客户 端 向 服务 器 
发 起 新 建 连接 请 求 。 


Firewall =] 
i S. 
Client a e Im] erver 
SYN SYN 
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SYN/ACK SYN/ACK 
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图 2.29 防火 墙 拦截 SYN Flood 攻击 


2. Land 攻击 

Land 攻击 是 一 种 使 用 相同 的 源 和 目的 主机 从 端口 发 送 数据 包 到 某 台 机 器 的 攻击 ,结果 
通常 使 存在 漏洞 的 机 器 崩溃 。 在 Land 攻击 中 ,一 个 特别 打造 的 SYN 包 中 的 源 地 址 和 目标 
地 址 都 被 设置 成 某 一 个 服务 器 地 址 ,这 时 将 导致 接收 服务 器 向 它 自己 的 地 址 发 送 SYN/ 
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LESE 


网 络 安 会 项 大 与 实践 


ACK 消息 ,然后 这 个 地 址 又 发 回 ACK 消息 并 创建 一 个 空 连接 ,每 一 个 这 样 的 连接 都 将 保 
留 直 到 超时 删除 。 不 同 的 系统 对 Land 攻击 的 反应 不 同 ,许多 UNIX 系统 将 崩溃 ,而 
Windows 系统 会 变 得 极其 缓慢 (大 约 持续 五 分 钟 ) 。 

3. Smurf 攻击 

Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 “Smurf” 来 命名 的 。 这 种 攻击 方法 结合 了 
IP 欺骗 和 ICMP 回复 方法 使 大 量 网 络 传输 充斥 目标 系统 ,导致 目标 系统 拒绝 为 正常 系统 进 
行 服务 。Smurf 攻击 通过 使 用 将 回复 地 址 设置 成 受害 网 络 的 广播 地 址 的 ICMP 应 答 请 求 
(ping) 数 据 包 , 来 淹没 受害 主机 ,最 终 导致 该 网 络 的 所 有 主机 都 对 此 ICMP 应 答 请 求 做 出 答 
复 , 导 致 网 络 阻塞 。 更 加 复杂 的 Smurf 攻击 可 将 源 地 址 改 为 第 三 方 的 受害 者 ,最 终 导 致 第 
ZF. 

4. UDP Flood 攻击 

UDP Flood Behi H ABIKA NLR! Dos 攻击 ,原理 也 很 简单 。 常 见 的 情况 是 利用 大 
ht UDP t nti; DNS 服务 器 或 Radius 认证 服务 器 \、 流 媒体 视频 服务 器 。100kpps( 每 秒 发 送 
10 万 个 数据 包 ) 的 UDP Flood 经 常 将 线路 上 的 骨干 设备 攻击 致 瘫痪 ,造成 整个 网 段 的 瘫 
3X&, HF UDP 协议 是 一 种 无 连接 的 服务 ,在 UDP Flood 攻击 中 ,攻击 者 可 发 送 大 量 的 伪造 
源 IP 地 址 的 UDP 包 。 但 是 ,由 于 UDP 协议 是 无 连接 性 的 ,所 以 只 要 开 了 一 个 UDP 端口 
提供 相关 服务 ,那么 就 可 针对 相关 的 服务 进行 攻击 。 正 常 应 用 情况 下 ,UDP 包 的 双向 流量 
基本 相等 ,而 且 大 小 和 内 容 都 是 随机 的 ,变化 很 大 。 出 现 UDP Flood 攻击 的 情况 下 ,针对 同 
一 目标 IP 的 UDP 包 在 一 侧 大 量 出 现 , 并 且 内 容 和 大 小 都 比较 固定 。 


2.4.2 UDP Flooder 软件 


UDP Flooder 2.0 是 一 款 发 送 UDP packet 并 进行 拒绝 服务 攻击 的 软件 ,其 界面 如 

图 2. 30 所 示 。 它 可 以 指定 目标 主机 的 IP 和 端口 ,攻击 报 文 可 以 由 文本 、 随 机 字 节 和 数据 文 
件 等 组 成 。 

在 如 图 2. 30 所 示 的 窗口 中 ,在 IP/hostname X. 

本 框 中 可 输入 目标 主机 的 IP 地 址 ; 在 Port 文本 框 — 

中 可 输入 目标 主机 的 端口 ; 在 Transmission control Max duaion (secs) [50 Maxpackels [T0000 

选项 组 中 可 输入 最 长 攻击 时 间 与 最 大 的 数据 包 , 以 i E zT 

及 UDP 包 发 送 的 速度 ; 在 Data 选项 组 中 可 选择 要 Lp e 

发 送 的 数据 。 本 任务 在 IP H 192. 168. 100. 1 的 PC 


Data 

c Po. 
中 模拟 攻击 IP X 192.168. 100.2 目标 主机 的 53 端 |a ruentem eere 
LLLI 


O ,攻击 时 间 为 60s, 攻 击 的 最 大 数据 包 为 10 000, 攻 || € Penne Em 


击 报 文选 择 Text 单 选 按钮 , 内容 为 x*xxx UDP | 
Flood Server stress test x*x*xx , 单 击 Go 按钮 ,实施 EN she MK sw | 
对 目标 主机 的 模拟 攻击 。 

1E IP Jy 192. 168. 100. 2 的 目标 主机 中 ,打开 
[Windows 任务 管理 器 了 窗口 ,选择 【联网 选项 卡 ,发 现 接收 数据 的 曲线 呈 明 显 上 升 趋势 ,60 
秒 后 停止 了 攻击 ,在 UDP Flooder 界面 中 再 次 单 击 Go 按钮 :发 现 曲线 第 二 次 呈 明 显 上 升 趋 
势 ,如 图 2.31 所 示 。 


图 2. 30 UDP Flooder 界面 
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图 2.31 Windows 任务 管理 器 中 的 曲线 变化 


在 IP Jy 192. 168. 100. 2 的 目标 主机 中 打开 Wireshark 工具 ,捕获 被 攻击 的 数据 包 ,发 
现 发 送 了 大 量 的 UDP 包 , 其 内 容 为 *x*xxx UDP Flood Server stress test *xxxx 。 由 此 可 
见 ,192. 168. 100. 2 的 目标 主机 已 经 遭遇 到 了 192. 168. 100. 1 主机 的 UDP Flood 攻击 ,如 
图 2. 32 所 示 o 


T VEvare Virtual Ethernet Adapter [Wireshark 1.6.8 (SVN Rev 42761 from /trunk-1.6)] 
Ele Edt View Go Capture Analyze Statistics Telephony Tools ]nternas Help 
Bassa a xZ: v ev»wT ES Raa mx 


Filter Expression. 


iro. Destination Protocol Le 


23803 113. 546586 192.168.100.1 192.168.100.2 ic update Unknown 
23805 113. 546653 192.168.100.1 192.168.100.2 update Unknown 
23807 113.554358 192.168.100. 1 192.168.100.2 ic update Unknown 


23809 113.554515 192.168.100.1 192.168.100.2 update Unknown 


Frame 23807: 83 bytes on wire (664 bits), 83 bytes captured (664 bits) 
Ethernet II, Src: Vmware a9:74:17 (00:0c:29:a9:74:17), Dst: Vmware c0:00:01 (00:50:56:c0: 
Internet Protocol version 4, src: 192.168.100.1 (192.168.100.1), Dst: 192.168.100.2 (192.168.100. 
User Datagram Protocol, src Port: aplx (1134), ost Port: domain (53) 
Domain Name System (query) 
LEGE NT TENELES 
- [Expert info (Error/Malformed): Malformed Packet (Exception occurred)] 
[Message: Malformed Packet (Exception occurred)] 
[severity level: Error] 
[Group: Malformed] 


00 01 2 .PV. 

00 00 a8 Ep. 

00 35 2a 2 20 d..n.5.1 ].** 

46 6c 6 65 UDP Floo d. serve 
72 65 7 2a r stress test ** 


Packets: 24036 Displayed: 24036 Marked: 0 Dropp... | Profile: Default 


图 2.32 Wireshark 捕获 的 大 量 DNS UDP 包 
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2.4.3 DDoS 攻击 者 


DDoS 攻击 者 是 一 个 DDoS( 分 布 式 拒绝 服务 攻击 ) 工 具 , 分 为 生成 器 (DDoSMaker. exe) 
与 DDoS 攻击 者 程序 (DDoSer. exe) 两 部 分 。 其 中 ,攻击 者 程序 要 通过 生成 器 进行 生成 , 它 
的 唯一 工作 就 是 不 断 地 对 事先 设 定好 的 目标 进行 攻击 。 在 [DDos 攻击 者 生成 器 】 对 话 框 中 
单 击 [ 生 成 按钮 ,会 自动 生成 一 个 DDoSer. exe 的 可 执行 文件 ,这 个 文件 就 是 攻击 程序 , 它 
在 哪里 运行 , 哪 台 主机 就 会 自动 向 设 定 的 目标 发 起 攻击 。 另 外 ,为 了 达到 隐蔽 性 ,可 以 任意 
命名 。 

3 课业 任务 2-5 

Bob 所 使 用 计算 机 的 IP 地 址 是 192. 168. 100.1, 他 在 上 面 安装 了 一 个 DDoS 攻击 工具 ， 
模拟 攻击 192. 168. 100. 2 的 目标 主机 来 了 解 黑客 的 DDoS 攻击 的 全 过 程 ,以 更 好 地 对 网 络 
进行 安全 维护 。 具 体操 作 步 骤 如 下 : 

(1) Bob 在 自己 的 计算 机 上 (以 下 简称 攻击 者 主机 ) 运 行 DDoSMaker. exe. Hl DDoS Jit 
击 者 生成 器 ,运行 后 的 对 话 框 如 图 2. 33 所 示 , 根 据 课业 任务 2-5 的 需求 ,分 别 进行 如 下 
WW. 

在 【目标 主机 的 域名 或 TP 地址 ] 文 本 框 中 输入 目标 主机 的 IP 3i dE" 192. 168. 100. 2”; 

在 [端口] 文本 框 中 输入 “80”; 

在 【并 发 连接 线程 数 ] 文 本 框 中 输入 *10”; 

在 【最 大 TCP 连接 数 ] 文 本 框 中 输入 “1000”; 

在 【注册 表 启 动 项 键 名 与 【服务 端 程序 文件 名 文本 框 中 ,启用 默认 设置 ,分 别 输入 
*Kernel32" fll" Kernel32. exe"; 

在 【文件 输出 3 选项 组 的 组 合 框 中 确定 攻击 者 程序 的 名 称 和 位 置 。 本 任务 最 后 生成 的 攻 
击 程序 名 称 为 DDoSer. exe. 

[© mostik ERE viS 

攻击 设置 


服务 端 程序 文件 名 加) 区 srnal52 exe 


[文件 输出 
DDos 攻 击 者 程序 保存 为 O): 


FWaninistrator\ 硕 面 \DDoSer Doser. exe Lt 
se | 


2.33 [DDoS 攻击 者 生成 器 ] 对 话 框 


(2) 双击 运行 生成 的 攻击 者 程序 DDoSer. exe, 启 动 后 便 开始 实施 对 目标 主机 的 攻击 。 
(3) 在 攻击 者 的 主机 上 运行 netstat 命令 ,查看 攻击 者 主机 与 目标 主机 的 连接 状态 。 如 


图 2.34 所 示 ,攻击 者 主机 与 被 攻击 者 主机 建立 了 10 个 连接 ,此 时 的 状态 为 SYN. SENT. 
SYN_SENT 表示 请 求 连接 。 当 要 访问 其 他 计算 机 的 服务 时 ,首先 需要 发 送 同 步 信 号 给 该 
端口 ,如 果 连 接 成 功 就 变 为 ESTABLISHED 状态 。SYN_SENT 状态 非常 短暂 。 如 果 发 现 
SYN_SENT 非常 多 , 则 可 能 机 器 中 了 病毒 或 中 了 攻击 。 


etstat -anp tcp 


Documents and Settings\hdninistrator》 


图 2.34 查看 TCP 连接 


(4) 在 攻击 者 的 主机 上 打开 Windows 任务 管理 器 ,从 中 可 以 查看 到 DDoS 攻击 软件 的 
了 在 内 存 中 了 ,如 图 2.35 所 示 。 


进程 Kernel32. exe 已 经 


zig 


XAD WAO FEV HHW 
应 用 程序 进程 jee | 联网 | 用 户 | 


映像 名 称 | 用户 名 CPU 
wordpad. exe Administrator 00 
svchost. exe SYSTEM 00 
inetinfo. exe SYSTEM 00 
ctfnon. exe Administrator 00 


wmtoolsd exe 
voiprvse. exe 
dllhost. exe 
TPAutoConnSve. 
explorer. exe 
svchost. exe 
mtoolsd exe 


spoolsv. exe 


D 显示 所 有 用 户 的 进程 G@) 


进程 数 - 34 CPU 使 用 : 22% 内 存 使 用 - 172536K / 9049T6K 


图 2.35 在 Windows 任务 管理 器 中 查看 进程 


(5) 在 目标 主机 上 打开 Wireshark 工具 ,捕获 DDoS 攻击 者 攻击 的 数据 包 , 此 时 可 以 查 
看 到 不 断 地 收 到 攻击 者 发 送 过 来 的 TCP 包 , 由 此 可 见 ,目标 主机 受到 了 TCP Flood 攻 
如 图 2. 36 所 示 。 
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T Vivare Virtual Ethernet Adapter [Wireshark 1.6.8 (SVN Rev 42761 from /trunk-1.6)] DER 
Ele Edt View Go Capture Analyze Statistics Telephony Tools Intemas Help 
Bade a cuxeesueseoqzBHSmEGagaoeamniuaxmix NH 
Expression. 
Protocol Length_ Infos 
$4 http > capi 
62 c1222-acse 
54 http 3 


2c 192 E E CP elfiq-repl [RST, 
5294 77.323515 192.168.100. 62 nfa > http [SYN] seq-0 v 


5295 77.323522 192.168.100. 2 2.168.100. 1 CP $4 http > nfa [RST, ACK] Si 
5296 77.323558 192.168.100. 
ERE] 64 


530: 46 192 2 E x CP $4 http > winpoplanmess [R 
5302 77.323681 192.168.100.1 62 bvtsonar > http [SYN] Se, 
> 
Æ Frame 5304: 62 bytes on wire (496 bits), 62 bytes captured (496 bits) 
& Ethernet II, Src: Vmware a9:74:17 (00:0c:29:39:74:17), Dst: Vmware c0:00:01 (00:50:56:c0:00:01) 
& Internet Protocol Version 4, src: 192.168.100.1 (192.168.100.1), Dst: 192.168.100.2 (192.168.100. 
+ Transmission Control Protocol, src Port: resacommunity (1154), Dst Port: http (80), Seq: 0, Len: 


> 


00 50 56 cO 00 O1 00 Oc 29 a9 74 17 08 00 45 00  .P 
00 30 78 d5 40 00 80 06 38 9e cO a8 64 O1 cO a8 .0; 
64 02 04 82 00 50 8a a3 4f 59 00 00 OO OO 70 02 

ff ff 5a fc 00 00 02 04 05 b4 01 01 04 02 


et 


IO) Fie: "C:\DOCUME~1\ADMINI~1\LOCALS~... | Packets: 5304 Displayed: 5304 Marked: 0 Dropped... Profile: Default 


Fd 2.36 Wireshark 捕获 到 的 TCP Flood 攻击 包 
2.5 ARP 攻防 


2.5.1 ARP KK X 


ARP 即 地 址 解析 协议 ,在 知道 目标 主机 IP 地 址 的 情况 下 ,如 果 需 要 得 到 目标 主机 的 
MAC 地 址 ,ARP 协议 可 以 做 到 。 如 果 该 协议 被 恶意 地 对 网 络 进行 攻击 ,其 后 果 是 非常 严 
重 的 。 

ARP 通常 包括 两 个 协议 包 , 一 个 ARP 请 求 包 与 一 个 ARP 回应 包 。 请 求 包 如 图 2. 37 
所 示 ,ARP 请 求 包 是 一 个 广播 包 。 在 ARP 请 求 包 中 , 源 主 机 发 出 “Who has 192. 168. 100. 1? 
Tell 192. 168. 100. 2", 

应 答 包 如 图 2.38 所 示 。 在 ARP 应 答 包 中 , 源 主机 接收 目标 主机 发 过 来 的 应 答 包 , 即 
“192. 168. 100. 1 is at 00:0c:29:a9:74:17”, 非 常 明了 ,也 就 是 192.168.100.1 的 MAC 地 址 
为 00:0c:29: a9:74:17。 

常见 的 ARP 欺骗 有 网 关 欺 骗 与 主机 欺骗 两 种 : 一 种 是 对 路 由 器 ARP 表 的 欺骗 ; 另 一 
种 是 对 内 网 PC 的 网 关 欺 骗 。 

第 一 种 ARP 欺骗 的 原理 是 截获 网 关 数 据 。 它 通知 路 由 器 一 系列 错误 的 内 网 MAC 地 
址 ,并 按照 一 定 的 频率 不 断 进行 ,使 真实 的 地 址 信息 无 法 通过 更 新 保存 在 路 由 器 中 ,结果 使 


ViEeere Virtual Ethernet Adapter — [Wireskark 1.6.8 (SVN Kev 42761 from /trunk-1.0)] 
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Filter: | Expression 


p rotes 
168. 100. 
12 192.168.100.1 is at 
74 Echo (ping) request 569-2304/9, tt1-64 
74 Echo (ping) reply Seq=2304/9, ttl=128 
74 Echo (ping) request seq=2560/10, tr1=64 
74 Echo (ping) reply seq=2560/10, tt1«128 
74 Echo (ping) request seq=2816/11, tt1=64 
74 Echo (ping) reply Seq=2816/11, tt1-128 
74 Echo (ping) request seq=3072/12, ttl-64 
74 Echo (ping) reply seq=3072/12, tt1-128 


Vmware 29:74:17 — Vmmare c0:00:01 
192.168.100.2 192.168.100.1 
192.168.100.1 192.168.100.2 
192.168.100.2 192.168.100.1 
192.168.100.1 192.168.100.2 

7 1.996355 192.168.100.2 192.168.100.1 

8 1.996645 192.168.100.1 192.168.100.2 

9 2.993878 192.168.100.2 192.168.100.1 

10 2.994126 192.168.100.1 192.168.100.2 


š 


greggii 


Æ Frame 1: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) 
: Ethernet II, Sre: vmware c0:00:01 (00:50:56:c0:00:01), Dst: Broadcast (fi 


= Address Resolution Protocol (request) 
Hardware type: Ethernet (1) 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: request (1) 
[Is gratuitous: False] 
Sender MAC address: Vmware c0:00:01 (00:50:56:c0:00:01) 
Sender IP address: 192.168.100.2 (192.168.100.2) 
Target MAC address: 00:00:00 00:00:00 (00:00:00:00:00:00) 
Target IP address: 192.168.100.1 (192.168.100.1) 


Packets: 10 Dspiyed: 10 Marked: 0 Dropped: © 


图 2.37 ARP 请 求 包 


re Virtual Ethernet Adapter [Wireshark 1.6.8 (SVN Rev 42761 from /trunk-1,6)] 
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Filur: | Expression 


Source. Destinstien. Protocol Length Info 
vmware. c0:00:01 42 who has 192.168.100.1? Tell 192.168.100.2 
2 0. 00261 
'equest 56022304/9, tt 

74 Echo (ping) reply 304/9, ttl«128 
74 Echo (ping) request Seq-2560/10, ttl-64 
74 Echo (ping) reply 5e0-2560/10, ttl-128 
74 Echo (ping) request 5e0-2816/11, ttl=64 
74 Echo (ping) reply seq=2816/11, ttl-128 
74 Echo (ping) request 560-3072/12, ttl-64 
74 Echo (ping) reply 560-3072/12, ttl-128 


w Frame 2: 42 bytes on wire (336 bits), 42 bytes captured (336 bits) 
& Ethernet II, Src: Vmware_a9:74:17 (00:0c:29:39:74:17), DSt: Vmware c0:00:01 (00:50:56:c0:00:01) 
= Address Resolution Protocol (reply) 

Hardware type: Ethernet (1) 

Protocol type: IP (0x0800) 

Hardware size: 6 

Protocol size: 4 

opcode: reply (2) 

[zs gratuitous: False] 

Sender MAC address: Vmware a9:74:17 (00:0c:2: 

Sender IP address: 192.168.100.1 (192.168.100.1) 

Target MAC address: vmware c0:00:01 (00:50:56:c0: 

Target IP address: 192.168. (68.100.2) 


90 50 56 29 a9 74 17 08 Ol 
08 29 a9 74 17 cO ai 
00 64 02 


[O] Fie: "CADOCUME- 1 ADMINI- 1LOCALS-... | Packets: 10 Depayed: 10 Marked: 0 Dropped: 0 


Æ 2.38 ARP 应答 包 


路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 址 ,造成 正常 PC 无 法 收 到 信息 。 

第 二 种 ARP 欺骗 的 原理 是 伪造 网 关 。 它 的 原理 是 建立 假 网 关 , 让 被 它 欺骗 的 PC 向 假 
网 关 发 数据 ,而 不 是 通过 正常 的 路 由 器 途径 上 网 。 在 PC 看 来 ,就 是 上 不 了 网 了 ,网 络 掉 
«T. 


网 络 攻 击 与 防范 
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网 络 安 会 技术 与 实践 


2.5.2 ARP KALA 


SwitchSniffer 是 一 款 ARP 欺骗 工具 。 下 面 通过 实验 演示 ARP 欺骗 ,该 实验 的 攻击 者 
为 Windows Server 2008, 其 IP 地 址 为 192. 168. 100. 1; 目标 主机 为 Windows XP, 其 IP 地 
址 为 192. 168. 100.2。 具 体操 作 步 又 如 下 : 

(1) 下 载 并 安装 SwitchSniffer 工具 ,将 其 打开 , 单 击 工具 栏 中 的 Scan 按钮 ,扫描 整个 网 
段 , 如 图 2.39 所 示 ,在 局 域 网 中 扫描 “到 了 3 台 主 机 ,选中 目标 主机 192. 168. 100. 2 , 单 击 工 
具 栏 中 的 Start 按钮 ,实施 攻击 。 


SwitchSniffer vl.5.1a 


Network View Settings Help 
[E] [L7] [&) [9]. Te] [v] 
Scan Start Stop Option Defmiton Homepage LveUp Reip 


Up Hosts... [3] 
192. 168. 100. 1 


Normal  00-0C-28-A9-T4-17 Wware, Iı 
Normal  00-50-56-CO-00-01 — VMWare, Iı 
Down Hosts . 168. 100. x . Normal 00-50-56-FE-93-60 — VMWare, Iı 


X[ (12/14/12 16:49:12] IP-forwarding (Internal) turns off 
[12/14/12 16:48:13] Stopped!!! 
[12/14/12 16:50:14] IP-forwarding (Internal) turns on 
[12/14/12 16:50:14] Start spoofing! 
[12/14/12 16:50:25] Stop spoofing! 
[12/14/12 16:50:25] IP-forwarding (Internal) turns off 
[12/14/12 16:50:26] Stopped!!! 


® Output 
Ready [So B/s G2 x5) | 会 0 3/s G2 K&) (© 00:00:10| 


图 2.39 扫描 主机 并 进行 攻击 


(2) 在 目标 主机 上 查询 ARP 表 , 实 施 攻击 之 前 的 ARP 表 项 如 下 


C:\Documents and Settings\Administrator >arp -a 


Interface: 192.168.100.2 --- 0x10004 
Internet Address Physical Address Type 
192. 168. 100. 1 00- 0c- 29-a9-74-17 dynamic 


实施 攻击 之 后 的 表 项 如 下 。 


C:\Documents and Settings\Administrator >arp -a 


Interface: 192.168.100.2 --- 0x10004 
Internet Address Physical Address Type 
192.168.100.1 00 — 00 — 00 - 00-00-00 dynamic 


(3) 在 目标 主机 上 使 用 Wireshark 工具 捕获 ARP 欺骗 包 , 如 图 2. 40 Brzs ,攻击 者 告诉 
目标 主机 192. 168. 100. 1 的 MAC 地 址 为 00:00:00:00:00:00, 从 而 达到 欺骗 的 目的 。 此 
时 ,目标 主机 无 法 与 攻击 者 之 间 进 行 通信 。 


T Vävare Virtual Ethernet Adapter [Wireshark 1.6.8 (SVN Rev 42761 from EE 
Be Edt Vew Go Capture 7 a 


Bang a cux: 
Filter: 


hr. Time Destination Frotocol Length afe 

1 0. 000000 192.168.100.1 192.168. 100. 25 NBNS 92 Name query WB www. ALEXA, COM<00> 
0.031016 Vmware 39:74:17 : ARP 60 who has 

3 0.031031 Vmware c0:00:01 ARP 42 192.168. 

o. 74:17 : ARP has 

0. 00:01. T ARP. .168. 

[3 

0 

0. 

0. 


E ARP 
74:17 ^ Broadcast ARP - 
039519 vmware _c0:00:01  vmware_a9:74: ARP 2.168.100.2 is at 00:50:56:c0:00: 


4 
5 
g 
s 
9 


+ Frame 6: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) 
& Ethernet II, Src: Vmware 39:74:17 (00:0c:29:39:74:17), Dst: Vmware 0:00:01 (00:50:56:c0:00:01) 
= Address Resolution Protocol (reply) 
Hardware type: Ethernet (1 
Protocol type: IP (0x0800) 
Hardware size: 6 
Protocol size: 4 
Opcode: reply (2 
[zs gratuitous: False] 
Sender MAC address: 00:00:00 00:00:00 (00:00:00:00:00:00) 
Sender IP address 168.100.1 (192.168.100.1 
Target MAC address: vmware c0:00:01 (00 0:00:01) 
Target IP address: 192.168.100.2 (192.168. 


36 co 00 01 00 
06 04 00 02 00 

56 cO 00 01 c0 a 
20 20 20 20 20 2 
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Profie: Defaut 


图 2.40 使 用 Wire: 


rk 捕获 ARP 欺骗 包 
2.5.3 防范 ARP 攻击 


A 课业 任务 2-6 

Bob 所 在 公司 的 计算 机 经 常 受到 ARP 攻击 ,他 利用 绑 定 TP h 
ARP 防火 墙 的 方法 来 防范 ARP 攻击 

具体 步骤 如 下 。 

方法 一 : 绑 定 IP 地 址 与 MAC 地 址 

在 公司 的 计算 机 上 绑 定 IP 地 址 与 MAC 地 址 ,通过 “arp -s” 命 令 进 行 绑 定 , 如 图 2.4 


MAC 地 址 和 安装 


所 示 。 


: NDocunents strator> 
:NDocunent fldninistrator?arp -a | 


Bx10004 
ical Addres Type 
[RR me 


Documents and Settings wWidninistr 
fidninis > 
sdninistratoryarp 


Type 


amic 


192.168.100.1 


C:\Documents and Settings Mdainis: r>arp -s 192.168.108.1 99-Bc-29-a9-74-17 


:NDocuments and SettingsAhdninistratoryarp 


8.40 8x38882 
Ph 
B8-Bf-e 

c-29 


Documents and S fidninis 


图 2.41 绑 定 IP 地 址 与 MAC 地 址 
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网 络 安 会 项 大 与 实践 


方法 二 : 安装 ARP 防火 墙 。 
下 载 并 安装 ARP 防火 墙 ,启动 后 的 界面 如 图 2. 42 所 示 。ARP 防火 墙 的 主要 功能 
如 下 。 


拦截 外 部 ARP 攻击 。 在 系统 内 核 层 拦截 接收 到 的 虚假 ARP 数据 包 , 保 障 本 机 
ARP 缓存 表 的 正确 性 。 

拦截 对 外 ARP 攻击 。 在 系统 内 核 层 拦截 本 机 对 外 的 ARP 攻击 数据 包 , 避 兔 本 机 感 
染 ARP 病毒 后 成 为 攻击 源 。 

拦截 IP 冲突 。 在 系统 内 核 层 拦截 接收 到 的 IP 冲突 数据 包 , 避 免 本 机 因 IP. 冲突 造 
成 掉 线 等 。 

主动 防御 。 主 动向 网 关 通 告 本 机 正确 的 MAC 地 址 ,确保 网 关 不 受 ARP 欺骗 的 
影响 。 


| 


[me | (Fark | s^ | [a | [TR | [Wi | [Wi ] 
网 络 流量 分 析 网络 主机 列表 (11) 


IP/MAC 
网 关 00-0C-29-A9-74-17:192.168.100.1 [自动 ] 
外 部 ARF 区 击 
外 部 IP 冲突 攻击 
对 外 ARP 攻 击 
HP iiL PR GS 


本 机 00-22-15-SD-08-6B:10.48.0.40 


主动 防御 
设 定 速度 (个 / 秒 ) 
实际 速度 (个 / 秒 ) 
防御 状态 


最 新 事件 : [12-12-14 17:18] 10.48.0.31 的 网 卡 处 于 混杂 模式 ， 可 能 无 害 ， 也 可 能 是 攻击 的 前 光 。 查看 更 多 日 志 


2012-12-14 17:19 星期 五 CHAIA Gti5X) E Copyright 2003-2009 ColorSoft. 


2.42 ARP 防火 墙 主 界面 


2.6 木马 攻防 


从 严格 意义 上 来 说 ,木马 程序 不 能 算 一 种 病毒 ,但 越 来 越 多 的 新 版 杀毒 软件 已 可 以 查 杀 
一 些 木 马 , 所 以 也 有 不 少 人 称 木马 程序 为 “病毒 ”。 

特洛伊 木马 (Trojan horse) 是 古 希 腊 传说 。 据 说 ,特洛伊 王子 帕 里 斯 访问 希腊 , 诱 走 了 
王后 海伦 ,希腊 人 因此 远征 特洛伊 。 转 攻 9 年 后 ,到 第 10 年 ,希腊 将 领 奥 德 修 斯 献 了 一 计 ， 
就 是 把 一 批 勇 士 埋 伏 在 一 匹 巨大 的 木马 腹 内 , 放 在 城 外 后 , 伴 装 退兵 。 特 洛 伊人 以 为 敌 兵 已 
退 ,就 把 木马 作为 战利品 搬入 城中 。 到 了 夜间 ,埋伏 在 木马 中 的 勇士 跳出 来 ,打开 了 城 门 , 希 
腊 将 土 一 拥 而 入 攻 下 了 城池 。 后 来 ,人 们 在 写 文 章 时 就 常用 “特洛伊 木马 ”这 一 典故 来 比喻 
在 敌 方 营 人 又 里 埋 下 伏兵 的 里 应 外 合 的 活动 。 

完整 的 木马 程序 一 般 由 两 个 部 分 组 成 : 一 部 分 是 服务 器 程序 ; 另 一 部 分 是 控制 器 程 
序 。 感 染 了 木马 就 是 指 安装 了 木马 的 服务 器 程序 。 若 某 人 的 计算 机 被 安装 了 服务 器 程序 ， 


则 拥有 控制 器 程序 的 人 就 可 以 通过 网 络 控制 这 个 人 的 计算 机 ,为 所 和 欲 为 ,控制 端 将 享有 服务 
端的 大 部 分 操作 权限 ,包括 修改 文件 ,修改 注册 表 ,控制 鼠标 、 键 盘 等 ,这 时 这 个 人 计算 机 上 
的 各 种 文件 ,程序 ,以 及 使 用 的 账号 、 密 码 就 无 安全 可 言 了 。 

木马 的 种 类 有 很 多 ,大 体 可 以 分 为 破坏 型 木马 、 密 码 发 送 型 木马 .远程 访问 型 木马 .键盘 
记录 木马 .DoS 攻击 木马 .代理 木马 等 。 

作为 优秀 的 木马 , 自 启 动 功能 是 必 不 可 少 的 ,这 样 可 以 保证 木马 不 会 因为 用 户 的 一 次 关 
机 操作 而 彻底 失去 作用 。 正 因为 该 项 技术 如 此 重要 ,所 以 ,很 多 编程 人 员 都 在 不 停 地 研究 和 
探索 新 的 自 启动 技术 ,并 且 时 常 有 新 的 发 现 。 一 个 典型 的 例子 就 是 把 木马 加 入 到 用 户 经 常 
执行 的 程序 (例如 explorer. exe) 中 , 当 用 户 执行 该 程序 时 ,木马 就 会 自动 发 生 作 用 。 当 然 ， 
更 加 普遍 的 方法 是 通过 修改 Windows 系统 文件 和 注册 表达 到 目的 ,现在 经 常用 的 方法 主要 
有 这 么 几 种 : 在 Win. ini 中 启动 .在 System. ini 中 启动 ,利用 注册 表 加 载运 行 、 在 Autoexec 
.bat 和 Config. sys 中 加 载运 行 .在 Winstart. bat 中 启动 .在 启动 组 中 启动 等 。 

木马 被 激活 后 ,进入 内 存 , 并 开启 事先 定义 的 木马 端口 ,准备 与 控制 端 建立 连接 。 这 时 
服务 端 用 户 可 以 在 MS DOS 方式 下 ,通过 输入 “netstat-an” 命 令 查 看 端口 状态 。 一 般 个 人 计 
算 机 在 脱 机 状态 下 是 不 会 有 端口 开放 的 ,如 果 有 端口 开放 ,就 要 注意 是 否 感染 木马 了 。 

对 于 一 些 常见 的 木马 ,如 SUB7、BO2000、 冰 河 等 ,它们 采用 的 都 是 打开 TCP 端口 监听 
和 写 和 注册 表 启 动 等 方式 。 使 用 木马 克星 之 类 的 软件 可 以 检测 到 这 些 木马 ,这 些 检测 木马 
的 软件 大 多 都 是 利用 检测 TCP 连接 注册 表 等 信息 来 判断 是 否 有 木马 人 侵 , 因 此 也 可 以 通 
过 手工 来 侦 测 木马 。 当 前 ,最 为 常见 的 木马 通常 是 基于 TCP/UDP 协议 进行 客户 端 与 服务 
端 之 间 的 通信 的 。 既 然 利 用 到 这 两 个 协议 ,就 不 可 避免 地 要 在 服务 端 ( 就 是 被 感染 了 木马 的 
机 器 了 ) 打 开 监听 端口 来 等 竺 连接。 例如 ,大 名 易 易 的 冰河 木马 使 用 的 监听 端口 是 7626， 
Back Orifice 2000 使 用 的 则 是 54320 等 。 那 么 ,可 以 利用 查看 本 机 开放 端口 的 方法 来 检查 
自己 的 计算 机 是 否 被 感染 了 木马 或 其 他 黑客 程序 。 此 时 ,使 用 netstat 命令 查看 一 下 自己 计 
算 机 开放 的 端口 ,看 看 哪些 是 非法 的 连接 。 表 2.3 中 列 出 了 常见 木马 的 端口 号 。 本 书 以 冰 
河 木 马 为 例 , 来 讲解 对 它 的 防范 与 查 杀 。 

表 2.3 常见 木马 的 端口 号 


木马 名 称 端口 号 
冰河 木马 7626 
Gatecrasher 木马 6969 . 6970 
INI Killer 木马 9989 
Firehotcker 木马 5321 
Master Paradise 木马 3129 40421 . 40425 
Delta Source 木马 26274 47262 
Donald Dick 木马 23467 . 23477 
Attack Ftp 木马 666 
netsphere 木马 30100 . 30102 
Master Paradise 木马 3129 40421. 40425 
Blade Runner 木马 5400 . 5402 
NetMonitor 木马 7300 7301 7306 . 7308 
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2.6.1 冰河 木马 概述 


冰河 是 国产 木马 的 鼻祖 ,也 是 传统 木马 的 精品 , 它 一 出 来 就 被 吵 得 沸沸扬扬 。1998 年 
的 网 络 ,就 是 冰河 的 天 下 ,冰河 可 以 说 是 最 有 名 的 木马 了 。 标 准 版 冰河 的 服务 器 端 程序 为 
G. server. exe, 客 户 端 程序 为 G. client. exe, 默 认 连 接 端口 为 7626。 一 旦 运行 G. server. exe, 那 
么 该 程序 就 会 在 C:\Windows\system 目录 下 生成 Kernel32. exe 和 Sysexplr. exe, 并 删除 
自身 。Kernel32. exe 在 系统 启动 时 自动 加 载运 行 ,Sysexplr. exe 和 TXT 文件 关联 。 即 使 
删除 了 Kernel32. exe, 但 只 要 打开 TXT 文件 ,Sysexplr. exe 就 会 被 激活 ,并 且 将 再 次 生成 
Kernel32. exe, 于 是 冰河 又 回来 了 ! 这 就 是 冰河 屡 删 不 止 的 原因 。 下 面 来 看 一 下 冰河 是 如 
何 来 操控 别人 的 计算 机 的 。 图 2.43 和 图 2. 44 所 示 分 别 为 感染 了 冰河 后 的 症状 ,内 存 中 多 
了 一 个 Kernel32. exe 的 进程 ,CPU 的 使 用 率 此 时 变 为 了 100%, 计 算 机 的 运行 速度 很 慢 。 

D Findovs 任务 管理 各 DER E Windows 任务 管理 器 
XD 选项 @) SEV 关机 QD 帮助 0 


应 用 程序 1 进程 | 性能 [mm | 用 户 
cru 使 用 记录 


8888888888888888 辐 


Administrator 
Administrator 


LOCAL SERVICE 

SYSTEM 
wmnetdhep. exe SYSTEM 
svchost, exe LOCAL SERVICE 

NETWORK SER. 


svchost, exe 
SYSTEM 
SYSTEM 
Administrator 
SYSTEM 
Administrator 
WINWORD. EXE Administrator 
< 


显示 所 有 用 户 的 进程 E) ELEL 


oooooooooooooooo| 


进程 数 ; 35 CPU 使 用 : 100% 提交 更 改 : 390904K / 600156. 进程 数 ，34 CPU 使 用 ;100% 提交 更 改 : 370848K / 600156: 


图 2.43 感染 冰河 木马 后 的 症状 一 一 进程 图 2.44 感染 冰河 木马 后 的 症状 一 一 CPU 使 用 率 


2. 0. 2 使 用 冰 河 木 马 攻 * D 木马 (IPC) 种 植 机 ! (不 能 用 win98 环 境 ) 


黑客 常常 利用 一 些 木 马 种 植 程序 在 别人 的 计 [mios 
算 机 上 种 植木 马 ,图 2. 45 所 示 是 工具 包 里 面 带 的 |578 Miss z mm 
“木马 (IPC) 种 植 机 ”。 选 择 服务 器 端 程序 | ex Rhe omets md Settinesihdnin v 
(G. server. exe) 后 , 单 击 【开始 3 按钮 ,就 在 别人 的 EASIER 二 一 
计算 机 上 种 植 了 木马 。 种 植木 马 的 方法 有 很 多 。 
在 很 多 时 候 , 从 网 上 下 载 一 个 软件 并 双击 后 ,有 的 
没 反应 ,有 的 则 弹出 一 个 对 话 框 ,这 些 都 有 可 能 是 | 、 MEG GR... ^0 
感染 了 木马 。 ERNARI ERRA. 20-028 nean 

感染 了 冰河 木马 后 ,在 目标 计算 机 中 便 会 开启 [ERA 
一 个 服务 器 的 端口 7626, 这 样 黑 客 便 可 以 通过 客 
户 端 软件 来 对 感染 了 木马 的 目标 计算 机 来 进行 控 
制 了 ,可 以 通过 netstat 命令 查看 控制 端 是 否 和 被 图 2.45 木马 (IPC) 种 植 机 图 


控 端 已 经 建立 了 连接 。 如 图 2.46 所 示 ,目标 端口 7626 已 经 建立 好 了 两 个 连接 ,这 时 ,黑客 
就 可 以 通过 客户 端 软 件 来 对 目标 计算 机 进行 控制 了 。 图 2. 47 和 图 2. 48 所 示 为 冰河 客户 端 
的 控制 界面 。 


WINDOWSisystem32icmd. exe 


ocunents and Settings Administr: 


fictive Connections 


Proto 


-80.0:0 
.8.0:8 
49 


98.0:0 
.8.8:0 
2.0: 


Documents and Settings wMdninistrator 


图 2.46 被 感染 木马 的 机 器 开启 了 7626 端口 


ERI 2004 [BRUCE HR] 
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当前 连接 : [10.64.46.37 -] mnu:[** aane: ER [S] 
I XH [Es 命 今 控制 台 
[s B xmem 。 [文件 条 
* Bl Localhost 
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ec 
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图 2.47 冰河 木马 控制 端 对 被 控 端 磁盘 的 控制 


冰河 客户 端 软件 的 具体 功能 如 下 : 

* 自动 跟踪 目标 机 屏幕 变化 ,同时 可 以 完全 模拟 键盘 及 鼠标 输入 ; 

。 记录 各 种 口令 信息 ,包括 开机 口令 、 屏 保 口 令 、 各 种 共享 资源 口令 及 绝 大 多 数 在 对 话 
框 中 出 现 过 的 口令 信息 ; 


I xt de E 


LESE 


网 络 安 会 鞭 术 与 实践 


Rkm 2004 [BRUCEWT 专 版 ] 
XPD Su 设置 [G] WH 


| $929 G EH EZ Ap me E V OR. 


当前 连接 : [10.64.48.37 =| æo: [res aans: | 应 用 Is 


局 文人 管理 器 B 命令 控制 台 | 


请 从 左 侧 列 表 中 选择 相关 命令 


图 2.48 冰河 木马 控制 端 对 被 控 端 其 他 的 控制 


获取 系统 信息 ,包括 计算 机 名 、 注 册 公司 、 当 前 用 户 、 系 统 路 径 、 系 统 版 本 、 当 前 显示 
分 辨 率 、 物 理 及 逻辑 磁盘 信息 等 多 项 系统 数据 ; 

限制 系统 功能 ,包括 远程 关机 、 远 程 重 启 计算 机 、 锁 定 鼠 标 、 锁 定 系统 热 键 及 锁定 注 
册 表 等 多 项 限制 功能 ; 

远程 文件 操作 ,包括 创建 .上 传 、 下 载 ,复制 删除 文件 或 目录 ,文件 压缩 ,快速 浏览 文 
本 文件 ,远程 打开 文件 (提供 了 4 种 不 同 的 打开 方式 : 正常 方式 .最 大 化 .最 小 化 和 
隐藏 方式 ) 等 多 种 文件 操作 功能 ， 

注册 表 操作 ,包括 对 主键 的 浏览 增删、 复制 、 重 命名 和 对 键 值 的 读 写 等 所 有 注册 表 
操作 功能 ， 

发 送信 息 , 以 4 种 常用 图 标 向 被 控 端 发 送 简短 信息 ; 

点 对 点 通信 ,以 聊天 室 形式 同 被 控 端 进行 在 线 交谈 。 


注意 : 如 果 某 台 计算 机 出 现 以 上 症状 ,请 检测 是 否 感染 了 木马 。 
2.6.3 冰河 木马 的 防范 


2 课业 任务 2-7 

Bob 为 了 避免 公司 的 计算 机 感染 冰河 木马 ,他 给 公司 员工 提供 了 几 种 防范 木马 的 方法 。 

CD 人 工 防范 。 在 计算 机 没有 感染 “冰河 木马 ”程序 的 前 提 下 ,首先 在 控制 面板 的 【文件 
夹 选 项 ] 对 话 框 中 选择 【查看 选项 卡 , 取 消 选择 系统 默认 的 【隐藏 已 知 文件 扩展 名 了 复 选 框 ， 
然后 在 C:\Windows\system 的 目录 下 新 建 两 个 TXT 文本 文件 ,将 文件 名 (包括 扩展 名 ) 改 
成 Kernel32. exe 和 Sysexplr. exe, 最 后 将 文件 属性 设置 为 只 读 、 隐 藏 。 

在 Windows XP 中 ,如 果 系 统 有 多 个 用 户 , 则 将 访问 权限 设置 为 everyone 都 拒绝 访问 ， 
其 他 继承 权限 也 进行 相应 的 设置 。 这 样 ,木马 服务 端 程序 在 将 要 生成 Kernel32. exe 和 
Sysexplr. exe 时 会 发 现 文件 已 经 存在 ,就 不 会 再 次 生成 Kernel32. exe 和 Sysexplr. exe, 并 认 


为 木马 已 经 在 以 前 的 某 个 时 间 成 功 种 植 ,这 样 计算 机 也 就 不 会 感染 上 冰河 木马 ,从 而 起 到 了 
免疫 的 作用 。 
(2) 使 用 个 人 防火 墙 进行 防范 。 
CD 使 用 杀毒 软件 进行 查 杀 ,图 2. 49 所 示 为 瑞星 杀毒 软件 查 杀 到 冰河 木马 的 提示 。 
(4) 使 用 木马 专 杀 软件 来 进行 查 杀 ,图 2. 50 所 示 为 木马 克星 查 杀 到 冰河 木马 的 提示 。 


瑞星 文件 临近 


病毒 信息 
文件 路 径 [C:\Documents and Settings Administrator EE] 
Vbi nghe. 20902 wi n32. exe 


病毒 名 称 : Backdoor. G_Door QKI) 


病毒 来 源 本 机 


O 清除 病毒 EE) On o Om m 
Iv] IB SURINAME » LU CAHANIN. 3 C: MITNDOWS\SYSTEM32\KERNEL32, EXE 怀 疑 为 不 马 , 是 否 册 除 ? 


UPRRRREUEE [we |] zw | 


图 2.49 瑞星 杀毒 软件 查 杀 到 冰河 木马 的 提示 图 2. 50 木马 克星 查 杀 到 冰河 木马 的 提示 


(5) 利用 手工 来 清除 冰河 木马 。 要 清除 冰河 木马 ,首先 要 删除 C:\Windows\system 下 
的 Kernel32. exe 和 sysexplr. exe 文件 ; 冰河 木马 会 在 注册 表 的 HKEY LOCAL _ 
MACHINE\software\microsoft\ Windows\CurrentVersion\Run 分 支 下 扎根 , 键 值 为 C:\ 
Windows\system\ Kernel32. exe 的 要 删除 。 在 注册 表 的 HKEY_LOCAL_ MACHINE\ 
softwareVmicrosoftN WindowsNVCurrent Version\Runservices 分 支 下 , 键 值 为 C:\Windows\ 
system\ Kernel32. exe 的 也 要 删除 。 除 此 之 外 ,还 要 恢复 注册 表 中 的 TXT 文件 的 关联 功 
能 ,只 要 将 注册 表 的 HKEY_CLASSES_ROOT\txtfile\shell\open\command 下 的 默认 值 由 
感染 木马 后 的 C:\Windows\system\Sysexplr. exe. %1 改 为 正常 情况 下 的 C:\Windows\ 
notepad. exe %1 即 可 。 

对 于 木马 , 重 在 防范 ,一 定 要 养 成 良好 的 上 网 习惯 。 不 要 随意 运行 邮件 中 的 附件 ; 安装 
一 套 杀毒 软件 ,瑞星 杀毒 软件 就 是 查 杀 病 毒 和 木马 的 好 帮手 。 从 网 上 下 载 的 软件 先 用 杀毒 
软件 检查 一 遍 再 使 用 ,上 网 时 打开 网 络 防 火 墙 和 病毒 实时 监控 ,以 保护 自己 的 机 器 不 感染 
木马 。 


练 习 题 


1. 选择 题 
(1) 在 短 时 间 内 向 网 络 中 的 某 台 服务 器 发 送 大 量 的 无 效 连接 请 求 , 导 致 合法 用 户 暂 时 


无 法 访问 服务 器 的 攻击 行为 是 破坏 了 ( a 


A. 机 密 性 B. 完整 性 C. 可 用 性 D. 可 控 性 

(2) 有 意 避 开 系 统 访问 控制 机 制 , 对 网 络 设备 及 资源 进行 非 正常 使 用 属于 ( Js 
A. 破坏 数据 完整 性 B. 非 授权 访问 
C. 信息 泄露 D. 拒绝 服务 攻击 


网 络 臣 击 与 防范 


LESE 


网 络 安 会 鞭 术 与 实践 


(3) ( ) 利 用 以 太 网 的 特点 ,将 设备 网 卡 设置 为 “混杂 模式 ”, 从 而 能 够 接收 到 整个 以 
太 网 内 的 网 络 数据 信息 o 
A. 嗅 探 程 序 B. 木马 程序 
C. 拒绝 服务 攻击 D. 缓冲 区 溢出 攻击 


(4) 字典 攻击 被 用 于 ( Jis 

A. 用 户 欺骗 B. 远程 登录 C. 网 络 嗅 探 D. 破解 密码 
(5) ARP 属于 ( ) 协 议 。 

A. 网 络 层 B. 数据 链 路 层 C. 传输 层 D. 以 上 都 不 是 
(6) 使 用 FTP 协议 进行 文件 下 载 时 ( ^. 

A. 包括 用 户 名 和 口令 在 内 ,所 有 传输 的 数据 都 不 会 被 自动 加 密 

B. 包括 用 户 名 和 口令 在 内 ,所 有 传输 的 数据 都 会 被 自动 加 密 

C. 用 户 名 和 口令 是 加 密 传输 的 ,而 其 他 数据 则 以 明文 方式 传输 

D. 用 户 名 和 口令 是 不 加 密 传输 的 ,其 他 数据 则 以 加 密 方 式 传输 的 
CD 在 下 面 4 种 病毒 中 ,( ) 可 以 远程 控制 网 络 中 的 计算 机 。 


A. worm. Sasser. f B. Win32. CIH 

C. Trojan. qq3344 D. Macro. Melissa 
2. 填空 题 
(1) 在 以 太 网 中 ,所 有 的 通信 都 是 的 。 


(2) 网 卡 一 般 有 4 种 接收 模式 : 单 播 、 

(3) Sniffer 的 中 文 意思 是 e 

(4) 攻击 是 指 故意 攻击 网 络 协议 实现 的 缺陷 ,或 直接 通过 野蛮 手段 耗 尽 被 攻 
击 对 象 的 资源 ,目的 是 让 目标 计算 机 或 网 络 无 法 提供 正常 的 服务 或 资源 访问 ,使 目标 系统 服 
务 系统 停止 响应 甚至 崩溃 。 

(5) 完整 的 木马 程序 一 般 由 两 个 部 分 组 成 : 一 部 分 是 服务 器 程序 ; 另 一 部 分 是 控制 器 
程序 。 感 染 了 木马 就 是 指 安 装 了 木马 的 程序 。 

3. 综合 应 用 题 

木马 发 作 时 ,计算 机 网 络 连接 正常 却 无 法 打开 网 页 。 由 于 ARP 木马 发 出 大 量 欺骗 数 
据 包 ,导致 网 络 用 户 上 网 不 稳定 ,甚至 网 络 短 时 瘫痪 。 根 据 要 求 ,回答 问题 1 一 问题 4, 并 把 
答案 填 人 下 表 对 应 的 位 置 。 


a) (2) (3) (4) (5) (6) (7) (8) (9) (10) (11) 


【问题 1] 
ARP 木马 利用 (1) 协议 设计 之 初 没 有 任何 验证 功能 这 一 漏洞 而 实施 破坏 。 
(1) A. ICMP B. RARP C. ARP D. 以 上 都 是 
【问题 2] 


在 以 太 网 中 , 源 主机 以 D 方式 向 网 络 发 送 含 有 目的 主机 IP 地 址 的 ARP 请 求 包 ， 
目的 主机 或 男 一 个 代表 该 主机 的 系统 以 _(3) 方式 返回 一 个 含有 目的 主机 TP 地 址 及 其 


MAC 地 址 对 的 应 答 包 。 源 主机 将 这 个 地 址 对 缓存 起 来 ,以 节约 不 必要 的 ARP 通信 开销 。 


ARP HN O ”必须 在 接收 到 ARP 请 求 后 才 可 以 发 送 应 答 包 。 
备 选 答案 : 


(2) A. 单 播 B. 多 播 C. 广播 D. 任意 播 
(3) A. 单 播 B. 多 播 C. 广播 D. 任意 播 
(4) A. 规定 B. 没有 规定 


【问题 3】 
ARP 木马 利用 感染 主机 向 网 络 发 送 大 量 虚假 ARP 报 文 ,主机 G) 
稳定 。 例 如 ,向 被 攻击 主机 发 送 的 虚假 ARP 报 文中 ,目的 IP 地址 为”(6) 


导致 网 络 访问 不 
,目的 MAC 地 


址 为 O 。 这 样 会 将 同 网 段 内 其 他 主机 发 往 网 关 的 数据 引 向 发 送 虚 假 ARP 报 文 的 机 


器 ,并 抓 包 截取 用 户口 令 信息 。 
备 选 答案 : 
(5) A. 只 有 感染 ARP 木马 时 才 会 


3. 没有 感染 ARP 木马 时 也 有 可 能 


C. 感染 ARP 木马 时 一 定 会 D. 感染 ARP 木马 时 一 定 不 会 
(6) A. 网 关 IP 地 址 B. 感染 木马 的 主机 IP 地 址 


C. 网 络 广播 IP 地 址 D. 被 攻击 主机 IP 地 址 
(7) A. 网 关 MAC 地 址 

B. 被 攻击 主机 MAC 地 址 

C. 网 络 广播 MAC 地 址 

D. 感染 木马 的 主机 MAC 地 址 
【问题 4 


网 络 正常 时 ,运行 如 下 命令 ,可 以 查看 主机 ARP 缓存 中 的 IP 地 址 及 其 对 应 的 MAC 


地 址 。 
C:\>arp (8) 
备 选 答案 : 
(8) A. -s B. -d C. -all D. -a 


假设 在 某 主 机 运行 上 述 命令 后 ,显示 如 图 2.51 所 示 的 信息 。 


al fiddress Type 


988-18-db-92-aa-38 dynamic 


图 2.51 查看 主机 ARP 缓存 


00-10-db-92-aa-30 是 正确 的 MAC 地 址 ,在 网 络 感染 ARP 木马 时 ,运行 上 述 命令 可 能 


显示 如 图 2. 52 所 示 的 信息 。 


Interface: 172.38.1.13 -— Gx38662 
Internet Address P ss Type 


172.380.8.1 88—-18-db-92-88-31 dynanic 


图 2.52 查看 感染 木马 后 的 主机 ARP 缓存 


网 络 攻 击 与 防范 


vw 


网 络 安 会 技术 与 实践 


当 发 现 主机 ARP 缓存 中 的 MAC 地 址 不 正确 时 ,可 以 执行 如 下 命令 清除 ARP 缓存 。 
C:\>arp (9) 

备 选 答案 : 

(9) A. -s B. -d C. -all D. -a 

之 后 ,重新 绑 定 MAC 地 址 ,命令 如 下 。 


C:\>arp-s (10) (11) 
(10) A. 172.30.0.1 B. 172.30. 1.13 

C. 00-10-db-92-aa-30 D. 00-10-db-92-00-31 
(11) A. 172. 30.0.1 B. 172. 30.1, 13 

C. 00-10-db-92-aa-30 D. 00-10-db-92-00-31 


第 3 章 信息 加 密 技 术 


加 密 学 是 一 门 古老 而 深奥 的 学 科 ,其 历史 可 以 追溯 到 几 千 年 前 ,长 期 被 军事 .外 交 等 部 
门 用 来 传递 重要 信息 。 计 算 机 信息 加 密 技术 是 研究 计算 机 信息 加 密 、 解 密 及 其 变换 的 科学 ， 
是 数学 和 计算 机 的 交叉 学 科 , 它 已 经 成 为 信息 安全 主要 的 研究 方向 ,也 是 网 络 安全 教学 中 的 
主要 内 容 。 

» 学 习 目 标 : 

。 熟悉 加 密 技术 的 基本 概念 ,包括 明文 、 密 文 .加 密 变 换 .解密 变换 及 密 钥 。 

。 掌握 对 称 加 密 算法 的 原理 、 典 型 的 算法 DES 与 3DES, 以 及 对 称 加 密 算法 的 优 缺 点 。 

。 掌握 非 对 称 加 密 算法 的 原理 ,典型 的 算法 RSA ,以 及 非 对 称 加 密 算法 的 优 缺 点 。 

。 掌握 数据 完整 性 原理 ,典型 散 列 算法 MD5 与 SHA1, 以 及 散 列 算法 的 特点 。 

。 掌握 如 何 使 用 PGP 软件 ,包括 密 钥 管理 ,发 送 加 密 与 解密 邮件 ,以 及 使 用 PGP 创建 

的 加 密 磁盘 。 
。 掌握 基于 密 钥 认 证 方式 进行 远程 管理 Red Hat Enterprise Linux 6(RHEL6) 服 
务 器 。 

» 课业 任务 : 

本 章 通过 4 个 实际 课业 任务 ,由 浅 入 深 、 循 序 渐进 地 学 习 信息 加 密 技术 的 基本 知识 与 相 
关 原 理 ,以 及 信息 加 密 技术 在 现实 当中 的 应 用 。 

3i 课业 任务 3-1 

Bob 是 WYL 公司 总 部 的 技术 开发 人 员 , Alice 是 WYL 公司 分 部 的 技术 开发 人 员 。 
身 处 异地 的 Bob 与 Alice 现 需 要 共同 开发 一 套 软件 ,因此 经 常 需 要 通过 互联 网 使 用 邮 
件 交 换 数据 ,而 这 套 软 件 里 的 文件 涉及 公司 的 核心 机 密 , 故 需要 在 传输 的 过 程 中 注意 
保密 性 。 

能 力 观测 点 

非 对 称 加 密 算法 原理 ; 使 用 PGP 软件 发 送 加 密 邮件 。 

3 课业 任务 3-2 

Bob 所 用 计算 机 的 硬盘 中 有 很 多 公司 的 核心 文件 , 怕 其 被 泄露 ,因此 需要 把 这 些 文件 保 
护 起 来 。 

能 力 观测 点 

使 用 PGP 软件 创建 加 密 磁盘 。 

A 课业 任务 3-3 

Bob 是 WYL 公司 的 Web 开发 人 员 , 他 的 计算 机 客户 端 安装 的 是 Windows XP 操作 系 


PARERI RR 


统 ,公司 服务 器 放置 在 公司 的 网 络 中 心 ,安装 的 都 是 RHEL6 操作 系统 ,Bob 需要 在 公司 的 
任何 Windows XP 操作 系统 上 都 能 安全 地 远程 管理 这 些 服务 器 。 

能 力 观测 点 

密 钥 对 生成 ; 非 对 称 加 密 算 法 原理 ; 在 Windows XP 中 使 用 基于 密 钥 的 认证 方法 远程 
管理 RHEL6 操作 系统 。 

3i 课业 任务 3-4 

Bob 是 WYL 公司 的 Web 开发 人 员 ,他 的 计算 机 客户 端 安装 的 是 RHEL6 操作 系统 , 公 
司 服务 器 放置 在 公司 的 网 络 中 心 ,安装 的 也 是 RHEL6 操作 系统 ,Bob 想 要 在 他 的 RHEL6 
操作 系统 上 安全 地 远程 管理 到 这 些 服务 器 。 

能 力 观测 点 

密 钥 对 生成 ; 非 对 称 加 密 算 法 原理 ; 在 RHEL6 中 使 用 基于 密 钥 的 认证 方法 远程 管理 
RHEL6 操作 系统 。 


3.1 加 密 技 术 概 述 


在 计算 机 网 络 中 ,为 了 保护 数据 在 传输 或 存储 的 过 程 中 不 被 别人 窃听 、 臭 改 或 删除 , 必 
须 对 数据 进行 加 密 。 随 着 网 络 应 用 技术 的 发 展 ,加 密 技 术 已 经 成 为 网 络 安 全 的 核心 技术 ,而 
且 融 合 到 大 部 分 安全 产品 之 中 。 加 密 技 术 是 对 信息 进行 主动 保护 ,是 信息 传输 安全 的 基础 ， 
通过 数据 加 密 、 消 息 摘 要 ,数字 签名 及 密 钥 交换 等 技术 ,可 以 实现 数据 保密 性 数据 完整 性 、 
不 可 和 否认 性 和 用 户 身 份 真实 性 等 安全 机 制 , 从 而 保证 了 在 网 络 环境 中 信息 传输 和 交换 的 
安全 。 

密码 学 (Cryptology) 是 一 门 具有 悠久 历史 的 学 科 。 密 码 技 术 是 研究 数据 加 密 、 解 密 及 
加 密 变换 的 科学 ,涉及 数学 .计算 机 科学 及 电子 与 通信 等 学 科 。 加 密 是 研究 .编写 密码 系统 ， 
把 数据 和 信息 转换 成 不 可 识别 的 密 文 的 过 程 ,而 解密 则 是 研究 密码 系统 的 加 密 途径 ,恢复 数 
据 和 信息 本 来 面目 的 过 程 。 

网 络 通信 的 双方 称 为 发 送 者 与 接收 者 。 发 送 者 发 送 消息 给 接收 者 时 ,希望 所 发 送 的 消 
息 能 安全 到 达 接 收 者 手 里 ,并 且 确 信和 窃听 者 不 能 阅读 发 送 的 消息 。 这 里 的 消息 (Message) 
被 称 为 明文 (Plain Text), 用 某 种 方法 伪装 消息 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 
(Encryption) ,加 密 后 的 消息 称 为 密 文 CCipher Text) ,而 把 密 文 转变 为 明文 的 过 程 称 为 解密 
(Decryption) 。 如 图 3. 1 所 示 ,就 是 一 个 加 密 与 解密 的 过 程 。 

一 个 密码 系统 由 算法 和 密 钥 两 个 基本 组 件 构成 。 对 于 古典 加 密 技术 ,其 安全 性 依赖 于 
算法 ,其 保密 性 不 易 控 制 。 比 如 ,一 个 组 织 采 用 某 种 密码 算法 ,一 旦 有 人 离开 ,这 个 组 织 的 其 
他 成 员 就 不 得 不 启用 新 的 算法 。 另 外 , 受 限制 的 算法 不 能 进行 质量 的 控制 和 标准 化 ,因为 每 
个 组 织 或 个 人 都 使 用 各 自 的 算法 。 而 对 于 现代 加 密 技术 ,算法 是 公开 的 ,其 保密 性 完全 依赖 
于 密 钥 ,这 种 算法 称 为 基于 密 钥 的 算法 。 基 于 密 钥 的 算法 通常 分 为 两 类 : 对 称 加 密 算法 与 
非 对 称 加 密 算 法 。 


P piro dim B1946ac92492d234 
总 收入 : 7c6235b4d2611184 
总 营业 额 : $8000 
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3.1 加 密 与 解密 的 过 程 
3.2 对称 加 密 算法 


3.2.1 对 称 加 密 算 法 原理 


对 称 加 密 算法 (Synmetric Algorithm) ,也 称 为 传统 密码 算法 ,其 加 密 密 钥 与 解密 密 钥 
相同 或 很 容易 相互 推算 出 来 ,因此 也 称 为 秘密 密 钥 算法 或 单 钥 算法 。 这 种 算法 要 求 通信 双 
方 在 进行 安全 通信 前 协商 一 个 密 钥 ,用 该 密 钥 对 数据 进行 加 密 与 解密 。 整 个 通信 安全 完全 
依赖 于 密 钥 的 保密 。 对 称 加 密 算法 的 加 密 与 解密 过 程 可 以 用 式 子 表示 如 下 。 

加 密 : EkC(M) 一 C 

解密 : D(C =M 

式 中 ,E 表示 加 密 运算 ,D 表示 解密 运算 ,M 表示 明文 (也 有 的 用 P 表示),C 表示 密 文 ， 
K 表示 密 钥 。 

对 称 加 密 算法 分 为 两 类 ,一 类 为 序列 密码 算法 , 另 一 类 为 分 组 密码 算法 。 序 列 密码 算法 
以 明文 中 的 单个 位 (有 了 时 是 字 节 ) 为 单位 进行 运算 ,分 组 密码 算法 则 以 明文 的 一 组 位 (这 样 的 
一 组 位 称 为 一 个 分 组 ) 为 单位 进行 加 密 运算 。 相 比 之 下 ,分 组 密码 算法 的 适用 性 更 强 一 些 ， 
适宜 作为 加 密 标准 。 


3.2.2 DES 算法 


对 称 加 密 密 码 算 法 有 很 多 种 , 如 DES, Triple DES, IDEA, RC2, RC4, RC5, RC6, 
GOST、FEAL、LOKI 等 。 下面 以 DES 算法 为 例 ,讲述 对 称 加 密 算法 的 实现 过 程 。 

DES(Data Encryption Standard) 算 法 被 称 为 数据 加 密 标 准 , 是 美国 IBM 公司 于 1972 
年 研制 的 对 称 密码 体制 加 密 算法 。 

DES 是 一 种 分 组 密码 。 在 加 密 前 , 先 对 整个 明文 进行 分 组 ; 每 组 长 为 64 位 ; 然后 对 每 
组 的 64 位 二 进 制 数据 进行 加 密 处 理 ,产生 一 组 64 位 密 文 数据 ; 最 后 将 各 组 密 文 串 接 起 来 ， 
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即 得 出 整个 密 文 。 使 用 的 密 钥 为 64 位 ,实际 密 钥 长 度 为 56 位 ,其 中 8 位 用 于 奇偶 校 验 。 其 
加 密 算法 如 图 3.2 所 示 。 


64 位 明文 
IP 


Lo(32bit) Ro(32bit) 


(= 一 一 K,(48bit) 


Li=Ro RI ORR,K) 
n qeu f) 
RiecLi6 
Ip! 
64 位 密 广 


图 3.2 DES 算法 流程 


首先 把 明文 分 成 若干 个 64 位 的 分 组 ,算法 以 一 个 分 组 作为 输入 ,通过 一 个 初始 置换 
(IP) 将 明文 分 成 左 半 部 分 (Le) 和 右 半 部 分 (Ru ) ,各 为 32 位 。 然 后 进行 16 轮 完 全 相同 的 运 
算 , 这 些 运算 称 为 函数 f, 在 运算 过 程 中 ,数据 与 密 钥 相 结合 。 经 过 16 轮 运算 后 , 左 、 右 两 部 
分 合 在 一 起 ,经 过 一 个 末 转 换 ( 初 始 转换 的 逆 置 换 IP-) 输 出 一 个 64 位 的 密 文 分 组 。 

每 一 轮 的 运算 过 程 为 , 密 钥 位 移 位 ,从 密 钥 的 56 位 中 选 出 48 位 。 首 先 ,通过 一 个 扩展 
置换 将 数据 的 左 半 部 分 扩展 成 48 位 ; 其 次 ,通过 一 个 异 或 操作 与 48 位 密 钥 结合 ; 再 次 , 通 
过 8 个 S 盒 (Substitution Box) 将 这 48 位 替代 成 新 的 32 位 ; 最 后 ,再 依照 P 盒 置 换 一 次 。 
以 上 4 步 构成 复杂 函数 f, 然 后 通过 另 一 个 异 或 运算 ,将 复杂 函数 的 输出 与 左 半 部 分 结合 
成 为 新 的 右 半 部 分 。 

每 一 轮 中 子 密 钥 的 生成 : 密 钥 通常 表示 为 64 位 ,但 每 个 第 8 位 用 做 奇偶 校 验 ,实际 的 
密 钥 长 度 为 56 位 。 在 DES 的 每 一 轮 运算 中 ,从 56 位 密 钥 产生 出 不 同 的 48 位 的 子 密 钥 
(Ki,K;,…,Kis)。 首 先 ,56 位 密 钥 分 成 两 部 分 (以 CD 分 别 表示 这 两 部 分 ) ,每 部 分 28 位 ， 
然后 每 部 分 分 别 循环 左 移 1 位 或 2 位 (从 第 1 轮 到 第 16 轮 , 相 应 左 移 位 数 分 别 为 1、1、2、2、 
2.2、2、2、1、2、2、2、2、2、2、1), 再 将 生成 的 56 位 经 过 一 个 压缩 转换 (Compression 
Permutation) 舍 掉 其 中 的 某 8 个 位 ,并 按 一 定 方式 改变 位 的 位 置 , 生 成 一 个 48 位 的 子 密 
51K. 


3.2.3 DES 算法 强度 


DES 的 设计 是 密码 学 历史 上 的 一 个 创新 。 自 从 DES 问世 至 今 ,对 其 进行 的 多 次 分 析 
研究 ,从 未 发 现 其 算法 上 的 破绽 。 但 直到 1998 年 ,电子 边境 基金 会 (EFF) 使 用 一 台 价 值 25 


万 美元 的 高 速 计算 机 ,在 56 小 时 内 利用 穷尽 搜索 的 方法 破译 出 56 位 密 钥 长 度 的 DES。 这 
只 能 说 明 56 位 的 密 钥 可 能 太 少 ,DES 的 迭代 次 数 可 能 太 少 。 

1982 年 ,已 经 有 办 法 攻破 4 次 迭代 的 DES 系统 了 。1985 年 ,对 于 6 次 近代 的 DES 系 
统 也 已 破译 。1990 年 ,以 色 列 学 者 发 明 并 运用 差分 分 析 方法 证 明 , 通 过 已 知 明文 攻击 ,任何 
少 于 16 次 迭代 的 DES 算法 都 可 以 用 比 穷 举 法 更 有 效 的 方法 。 

尽管 如 此 ,DES 还 是 一 个 比较 安全 的 算法 ,并 且 目 前 DES 的 软 、 硬 件 产品 在 所 有 的 加 
密 产 品 中 占 非常 大 的 比重 ,是 密码 学 史上 影响 最 大 ,应 用 最 广 的 数据 加 密 算法 。 


3.2.4 3DES 算法 


3DES( Triple DES) 是 DES 向 AES 过 渡 的 加 密 算法 (1999 年 ,NIST 将 3DES 指定 为 过 
渡 的 加 密 标准 ) ,是 DES 的 一 种 更 安全 的 变形 。 它 以 DES 为 基本 模块 ,通过 组 合 分 组 方法 
设计 出 分 组 加 密 算法 ,其 具体 实现 如 下 。 

设 EOM DORK DES 算法 的 加 密 和 解密 过 程 ,K 代表 DES 算法 使 用 的 密 钥 ,M 代 
表明 文 ,C 代表 密 文 ,3DES 算法 表示 如 下 。 

3DES WEE: C= E, (De (Eu (M))) 

3DES 解密 过 程 : M= Dy CE, (D, (C))) 

其 中 ,Ki KK, 决定 了 算法 的 安全 性 , 若 3 个 密 钥 互 不 相同 , 则 本 质 上 相当 于 用 一 个 
长 为 168 位 的 密 钥 进行 加 密 。 多 年 来 , 它 在 对 付 强力 攻击 时 是 比较 安全 的 。 若 数据 对 安全 
性 要 求 不 那么 高 ,Ki 可 以 等 于 K; ,在 这 种 情况 下 , 密 钥 的 有 效 长 度 为 112 位 。 


3.3 非 对 称 加 密 算法 


3.3.1 非 对 称 加 密 算 法 原理 


非 对 称 加 密 算 法 (Asymmetric Cryptographic Algorithm) 又 名 公开 密 钥 加 密 算法 。 非 
对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (Public Key) 和 私有 密 钥 (Private Key). 

公开 密 钥 与 私有 密 钥 是 成 对 存在 的 。 如 果 用 公开 密 钥 对 数据 进行 加 密 , 那 么 只 有 用 对 
应 的 私有 密 钥 才 能 解密 ; 如 果 用 私有 密 钥 对 数据 进行 加 密 , 那 么 只 能 用 对 应 的 公开 密 钥 才 
能 解密 。 因 为 加 密 和 解密 使 用 的 是 两 个 不 同 的 密 钥 ,所 以 这 种 算法 叫 非 对 称 加 密 算法 。 非 
对 称 加 密 算 法 实现 机 密 信 息 交 换 的 基本 过 程 是 : 接收 方 生 成 一 对 密 钥 并 将 其 中 的 公开 密 钥 
向 其 他 方 公 开 ; 得 到 该 公开 密 钥 的 发 送 方 使 用 该 密 钥 对 机 密 信 息 进 行 加 密 后 再 发 送 给 接收 
方 ; 接收 方 再 用 自己 保存 的 另 一 把 私有 密 钥 对 加 密 后 的 信息 进行 解密 ,如 图 3. 3 所 示 。 

另 一 方面 ,接收 方 可 以 使 用 自己 的 私 钥 对 机 密 信 息 进行 加 密 后 再 发 送 给 发 送 方 ,发 送 方 
再 用 接收 方 的 公 钥 对 加 密 后 的 信息 进行 解密 。 接 收 方 只 能 用 其 私 钥 解密 由 其 公 钥 加 密 后 的 
任何 信息 。 非 对 称 加 密 算法 的 保密 性 比较 好 , 它 消除 了 最 终 用 户 交换 密 钥 的 需要 。 由 于 非 
对 称 密码 体制 的 算法 复杂 ,强度 大 ,使 得 加 密 和 解密 的 速度 没有 对 称 加 密 和 解密 的 速度 快 。 
对 称 密码 体制 中 只 有 一 种 密 钥 ,并且 是 非 公 开 的 ,如 果 要 解密 ,就 得 让 对 方 知道 密 钥 ,所 以 保 
证 其 安全 就 是 保证 密 钥 的 安全 。 而 非 对 称 密码 体制 有 两 种 密 钥 ,其 中 一 个 是 公开 的 ,这 样 就 
可 以 不 需要 像 对 称 密码 那样 传输 对 方 的 密 钥 了 ,因此 安全 性 就 高 了 很 多 。 


信息 加 密 靶 太 


How 


网 络 安 会 鞭 术 与 实践 


rs siis B1946ac92492d234 
总 收入 : 7c6235b4d2611184 
总 营业 额 :$8000 ° 


B1946ac92492d234 
7c6235b4d2611184 


3.3 非 对 称 加 密 过 程 


非 对 称 加密 算 法 主要 典型 的 算法 有 RSA, Elgamal, 1$ £51 1, Rabin, HD, ECC Cf P Hh 
线 加 密 算法 )。 使 用 最 广泛 的 是 RSA 加 密 算法 。 


3.3.2 RSA 加 密 算 法 


RSA 加 密 算法 是 1977 年 由 Ron Rivest, Adi Shamirh 和 Len Adleman 在 美国 麻 省 理工 
学 院 开发 的 。RSA 的 名 称 来 自 3 位 开发 者 的 名 字 。RSA 加 密 算法 是 目前 最 有 影响 力 的 公 
钥 加 密 算法 , 它 能 够 抵抗 到 目前 为 止 的 已 知 的 所 有 密码 攻击 ,已 被 ISO 推荐 为 公 钥 数 据 加 
密 标 准 。RSA 加 密 算法 基于 一 个 十 分 简单 的 数论 事实 : 将 两 个 大 素数 相 乘 十 分 容易 ,但 对 
其 乘积 进行 因 式 分 解 极其 困难 ,因此 可 以 将 乘积 公开 作为 加 密 密 钥 。 

RSA 加 密 算法 的 思路 : 为 了 产生 两 个 密 钥 , 先 取 两 个 大 素数 p 和 9g, 为 了 获得 最 大 程度 
的 安全 性 ,两 数 的 长 度 应 一 样 ,计算 乘积 二 pXg, 然 后 随机 选取 加 密 密 钥 e, 使 e。 和 (p 一 1) X 
(q 一 1) 互 素 , 最 后 用 欧 几 里 得 (Euclidean) 扩 展 算法 计算 解密 密 钥 d,d 满足 ed —1 mod 
[(p 一 1D)(q 一 1D)], 即 de^! mod [C5— D (4— 10 ].. M e 和 nn 为 公开 密 钥 ,d 是 私人 密 钥 。 
两 个 大 素数 p 和 g 应 该 立即 丢弃 ,不 让 任何 人 知道 。 一 般 选择 的 公开 密 钥 e 比 私 人 密 钥 d 
小 。 最 常 选 用 的 e 值 有 3 个 : 3、17、65537。 

加 密 消息 时 ,首先 将 消息 分 成 比 n 小 的 数据 分 组 (采用 二 进 制 数 , 选 到 小 于 nn 的 2 的 最 
KRR) , 设 m; 表示 消息 分 组 ,ci 表示 加 密 后 的 密 文 , 它 与 m; 具有 相同 的 长 度 。 

加 密 过 程 : cf 二 mf mod n 

解密 过 程 : mi 二 cf mod m 


3.3.3 RSA 的 安全 性 与 速度 


RSA 的 安全 性 依赖 于 大 数 分 解 , 但 是 否 等 同 于 大 数 分 解 ,一 直 未 能 得 到 理论 上 的 证 明 。 
因为 没有 证 明 ,破解 RSA 就 一 定 需 要 进行 大 数 分 解 。 假 设 存在 一 种 无 须 分 解 大 数 的 算法 ， 
那 它 肯 定 可 以 修改 为 大 数 分 解 算法 。 目 前 ,RSA 的 一 些 变种 算法 已 被 证 明 等 价 于 大 数 分 


解 。 不 管 怎样 ,分 解 n 是 最 显然 的 攻击 方法 。 现 在 ,人 们 已 能 分 解 多 个 十 进 制 位 的 大 素数 。 
因此 , 模 数 n 必须 大 一 些 , 应 视 具体 适用 情况 而 定 。 

由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 快 的 情况 也 比 DES 慢 上 好 几 倍 。 无 论 是 软件 
还 是 硬件 实现 ,速度 一 直 是 RSA 的 缺陷 。 一 般 来 说 ,RSA 只 用 于 少量 数据 加 密 。 


3.3.4 非 对 称 加 密 算 法 与 对 称 加 密 算 法 的 比较 


对 于 非 对 称 加 密 算法 ,首先 ,用 于 消息 解密 的 密 钥 值 与 用 于 消息 加 密 的 密 钥 值 不 同 ; 其 
次 , 非 对 称 加 密 算法 比 对 称 加 密 算法 慢 数 千 们 ,但 在 保护 通信 安全 方面 , 非 对 称 加 密 算法 却 
具有 对 称 加 密 算法 难以 企及 的 优势 。 为 说 明 这 种 优势 ,使 用 对 称 加 密 算法 的 例子 来 强调 : 
Alice 使 用 密 钥 K 加 密 消息 并 将 其 发 送 给 Bob. Bob 收 到 加 密 的 消息 后 ,使 用 密 钥 K 对 其 解 
密 以 恢复 原始 消息 。 这 里 存在 一 个 问题 , 即 Alice 如 何 将 用 于 加 密 消息 的 密 钥 值 发 送 给 
Bob? 答案 是 ,Alice 发 送 密 钥 值 给 Bob 时 必须 通过 独立 的 安全 通信 信道 ( 即 没 人 能 监听 到 
该 通信 的 信道 )。 这 种 使 用 独立 安全 信道 来 交换 对 称 加 密 算法 密 钥 的 需求 会 带 来 更 多 问题 ， 
首先 ,有 独立 的 安全 信道 ,但 是 安全 信道 的 带宽 有 限 , 不 能 直接 用 它 发 送 原始 消息 ; 其 次 ， 
Alice 和 Bob 不 能 确定 他 们 的 密 钥 值 可 以 保持 多 久 而 不 泄露 ( 即 不 被 其 他 人 知道 ), 以 及 何 
时 交换 新 的 密 钥 值 。 当 然 ,这 些 问题 不 只 Alice 会 遇 到 ,Bob 和 其 他 每 个 人 都 会 遇 到 ,他 们 
都 需要 交换 密 钥 并 处 理 这 些 密 钥 管理 问题 (事实 上 .,X9. 17 是 一 项 DES 密 钥 管理 ANSI 标 
准 CANSIX9. 17])。 如 果 Alice 要 给 数 百 人 发 送 消 息 , 那 么 事情 将 更 麻烦 ,她 必须 使 用 不 同 
的 密 钥 值 来 加 密 每 条 消息 。 例 如 ,要 给 200 个 人 发 送 通 知 ,Alice 需要 加 密 消息 200 次 , 即 对 
每 个 接收 方 加 密 一 次 消息 。 显 然 , 在 这 种 情况 下 ,使 用 对 称 加 密 算法 来 进行 安全 通信 的 开销 
相当 大 。 非 对 称 加 密 算法 的 主要 优势 就 是 使 用 两 个 密 钥 值 : 一 个 密 钥 值 用 来 加 密 消息 , 另 
一 个 密 钥 值 用 来 解密 消息 。 这 两 个 密 钥 值 在 同一 个 过 程 中 生成 , 称 为 密 钥 对 。 用 来 加 密 消 
息 的 密 钥 称 为 公 钥 ,用 来 解密 消息 的 密 钥 称 为 私 钥 。 用 公 钥 加 密 的 消息 只 能 用 与 之 对 应 的 
私 钥 来 解密 , 私 钥 除了 持 有 者 之 外 无 外 人 知道 ,而 公 钥 却 可 通过 非 安 全 通道 来 发 送 或 在 目录 
中 发 布 。 当 Alice 需要 通过 电子 邮件 给 Bob 发 送 一 个 机 密 文档 时 ,首先 ,Bob 使 用 电子 邮件 
将 自己 的 公 钥 发 送 给 Alice, 然 后 ,Alice 用 Bob 的 公 钥 对 文档 加 密 并 通过 电子 邮件 将 加 密 消 
息 发 送 给 Bob。 由 于 任何 用 Bob 的 公 钥 加 密 的 消息 只 能 用 Bob 的 私 钥 解 密 , 因 此 即使 宇 探 
者 知道 Bob 的 公 钥 ,消息 也 仍 是 安全 的 。Bob 在 收 到 加 密 消 息 后 ,用 自己 的 私 钥 进 行 解密 ， 
从 而 恢复 原始 文档 。 


3.4 数据 完整 性 


仅 用 加 密 方法 实现 消息 的 安全 传输 是 不 够 的 ,攻击 者 虽 无 法 破译 加 密 消息 ,但 如 果 攻 击 
者 自 改 或 破坏 了 消息 , 则 仍 会 使 接收 者 无 法 收 到 正确 的 消息 。 因 此 ,需要 有 一 种 机 制 来 保证 
接收 者 能 够 辨别 收 到 的 消息 是 否 是 发 送 者 发 送 的 原始 数据 ,这 种 机 制 称 为 数据 完整 性 机 制 。 

数据 完整 性 验证 是 通过 下 述 方法 来 实现 的 。 消 息 的 发 送 者 用 要 发 送 的 消息 和 一 定 的 算 
法 生成 一 个 附件 ,并 将 附件 与 消息 一 起 发 送出 去 。 消 息 的 接收 者 收 到 消息 和 附件 后 ,用 同样 
的 算法 把 接收 到 的 消息 生成 一 个 新 的 附件 ,并 把 新 的 附件 与 接收 到 的 附件 相 比 较 。 如 果 相 
同 , 则 说 明 收 到 的 消息 是 正确 的 ,否则 说 明 消息 在 传送 中 出 现 了 错误 。 其 一 般 过 程 如 图 3. 4 
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do wi 


BHÓAERAAÁK^5ExX 


所 示 , Hash 是 一 种 单 向 的 散 列 函数 ,通过 这 种 函数 可 以 生成 一 个 固定 长 度 的 值 ,此 值 即 为 
校 验 值 。 


公司 财务 报告 
总 收入 : $12 000 
总 营业 额 : $8000 


B1946ac92492d234 
7c6235b4d2611184 


B1946ac92492d234 
7c6235b4d2611184 


Q 

D - x 
er ud e 7c6235b4d2611184 
总 营业 额 : $5000 B1946ac92492d234 


B1946ac92492d234 x Ie 
7c6235b4d2611184 比较 


3.4 消息 完整 性 验证 


所 有 散 列 函数 都 有 如 下 的 一 个 基本 特性 : 如 果 两 个 散 列 值 是 不 相同 的 (根据 同一 函数 
得 到 的 散 列 值 ) ,那么 这 两 个 散 列 值 的 原始 输入 也 是 不 相同 的 。 这 个 特性 使 散 列 函数 具有 确 
定性 的 结果 。 但 另 一 方面 , 散 列 函数 的 输入 和 输出 不 是 一 一 对 应 的 ,如 果 两 个 散 列 值 相同 ， 
那么 两 个 输入 值 很 可 能 是 相同 的 ,但 并 不 能 绝对 肯定 二 者 一 定 相 等 。 输 入 一 些 数 据 并 计算 
出 散 列 值 ,然后 部 分 改变 输入 值 , 则 一 个 具有 强 混淆 特性 的 散 列 函 数 会 产生 完全 不 同 的 散 
列 值 。 

MD5 和 SHA1 可 以 说 是 目前 应 用 最 广泛 的 Hash 算法 ,而 它们 都 是 以 MD4 为 基础 设 
计 的 。 

1. MD4 

MD4(RFC 1320) 是 MIT 的 Ronald L. Rivest 在 1990 年 设计 的 , MD 是 Message 
Digest 的 缩写 。 它 可 在 32 位 字 长 的 处 理 器 上 用 高 速 软件 实现 , 它 是 基于 32 位 操作 数 的 位 
操作 来 实现 的 。 

2. MD5 

MDS(RFC 132) € Rivest F 1991 年 对 MD4 进行 改进 的 版 本 。 它 对 输入 仍 以 512 位 
分 组 ,其 输出 是 4 个 32 位 字 的 级 联 , 与 MD4 相同 。MD5 比 MD4 来 得 复杂 ,并 且 速 度 要 慢 
一 点 ,但 更 安全 ,在 抗 分 析 和 抗 差分 方面 表现 更 好 。 

3. SHA1 

SHA1 是 由 NIST 和 NSA 设计 的 ,是 同 DSA 一 起 使 用 的 , 它 对 长 度 小 于 264 的 输入 产 


生长 度 为 160 位 的 散 列 值 ,因此 抗 穷 举 性 更 好 。SHAI 的 设计 基于 和 MD4 相同 的 原理 ,并 
且 模 仿 了 该 算法 。 


3.5 PGP 加 密 系统 


3.5.1 PGP 简介 


PGP(Pretty Good Privacy) 是 一 种 在 信息 安全 传输 领域 的 首选 加 密 软件 ,其 技术 特性 
是 采用 了 非 对 称 的 加 密 体 系 。 由 于 美国 对 信息 加 密 产品 有 严格 的 法 律 约束 ,特别 是 对 向 美 
国 、 加 拿 大 之 外 的 国家 散播 该 类 信息 的 约束 ,以 及 出 售 ,发 布 该 类 软件 约束 更 为 严格 ,因此 限 
MIT PGP 的 一 些 发 展 和 普及 ,现在 该 软件 的 主要 使 用 对 象 为 情报 机 构 ,政府 机 构 、 信 息 安 全 
工作 者 (例如 , 较 有 水 平 的 安全 专家 和 有 一 定 资历 的 黑客 )。PGP 最 初 的 设计 主要 用 于 邮件 
加 密 ,如 今 已 经 发 展 到 了 可 以 加 密 整个 硬盘 、 分 区 .文件 ,文件 夹 , 甚 至 可 以 对 ICQ 的 聊天 信 
息 实时 加 密 。 用 户 和 对 方 只 要 安装 了 PGP, 就 可 利用 其 ICQ 加 密 组 件 在 聊天 的 同时 加 密 或 
解密 ,和 正常 使 用 没有 什么 区 别 , 从 而 最 大 程度 地 保证 了 和 对 方 的 聊天 信息 不 被 窃取 或 监 
视 。 现 版 本 最 大 能 支持 4096 位 加 密 强 度 。 

虽然 PGP 的 最 新 版 本 为 10.0, 但 是 由 于 版 本 变动 不 大 , 按 常理 推断 ,不 会 有 什么 功能 
上 的 增强 ,只 是 修正 一 些小 Bug。 这 里 以 PGP 8. 1 为 例 进行 讲解 ,所 采用 的 系统 为 
Windows XP。 


3.5.2 PGP 安装 


下 载 PGP 后 ,双击 PGP 自 解压 文件 ,运行 安装 文件 ,系统 自动 进入 安装 向 导 , 主 要 步骤 
WTF: 

(D 是 否 同 意 PGP Licence, 

(2) 选择 用 户 类 型 。 

(3) 选择 安装 的 路 径 。 

(4) 选择 需要 安装 的 组 件 。 

(5) 是 否 需要 重新 启动 计算 机 。 

(6) 汉化 安装 。 

如 图 3.5 所 示 , 选 择 No,1”m a New User 单 选 按 钮 ,这 是 告诉 安装 程序 ,需要 创建 并 设 
置 一 个 新 的 用 户 信 息 。 单 击 Next 按钮 ,进入 到 程序 的 安装 目录 对 话 框 (安装 程序 会 自动 检 
测 用 户 的 系统 ,并 生成 以 用 户 的 系统 名 为 目录 名 的 安装 文件 夹 ) ,建议 将 PGP 安装 在 安装 程 
序 默 认 的 目录 ,也 就 是 计算 机 的 系统 盘 内 ,程序 很 小 ,不 会 对 系统 盘 有 什么 大 的 影响 。 继 续 
单 击 Next 按钮 ,出 现 选 择 PGP 组 件 的 对 话 框 ,安装 程序 会 检测 用 户 系统 内 所 安装 的 程序 ， 
如 果 存 在 PGP 可 以 支持 的 程序 , 它 将 自动 为 用 户 选 中 该 支持 组 件 ,如 图 3.6 所 示 。 

注意 : 对 于 图 3.6 中 的 组 件 ,第 一 个 是 磁盘 加 密 组 件 ; 第 二 个 是 ICQ 实时 加 密 组 件 ; 第 
三 个 是 微软 的 Outlook 邮件 加 密 组 件 ; 第 四 个 是 有 大 量 使 用 者 的 Outlook Express, 简 称 
OE; 第 五 个 和 第 六 个 组 件 很 少 用 到 。 

后 面 的 安装 过 程 只 需 一 步 步 单 击 Next 按钮 ,最 后 根据 提示 重启 系统 即 可 完成 安装 。 
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How 


PARERI RR 


Please tell us 1 you have existing PGP Keyrings you'd ike lo use. 


Do you already have PGP keyrings you would like to use? 


C. Yes, | akeady have keyrings. 
G No. fm a New Use 


Choose the components Setup will install 


Select the components you want to install, and clear the components you do not want lo 


v 
CBS PGPmai for ICO 
TAO] PGPmail for Microsoft Outlook 


FZE PGPmai for Microsoft Outlook Express 


DE PGPmai for Qualcomm Eudora 
(9 PGPmai lor Groupwise 


图 3.6 选择 需要 安装 的 组 件 
注意 : 务必 根据 提示 尽快 重启 ,否则 可 能 会 出 现 一 些 错误 。 


3.5.3 创建 密 钥 对 


计算 机 重启 后 ,进入 系统 时 会 自动 启动 PGPtray. exe, 这 个 程序 是 用 来 控制 和 调用 PGP 
的 全 部 组 件 的 。 如 果 用 户 觉得 没有 必要 每 次 启动 时 都 加 载 它 ,可 以 按 以 下 步骤 进行 取消 : 
YE FEDT 161 Ur £i £F 1 Uni 201p 4 . fex HUM ER PGPtray 的 快捷 方式 即 可 。 启 动 
PGPtray 后 ,会 弹出 PGP WHER Se REEF —25 M HL 98 EA BC UE RB T fr f E 
话 框 ,在 【全 名 ] 文 本 框 中 输入 想 要 创建 的 用 户 名 ,在 [Email 地 址 】 文 本 框 中 输入 用 户 所 对 应 
的 电子 邮件 地 址 。 虽 然 真 实 的 姓名 不 是 必需 的 ,但 是 输入 一 个 朋友 或 同事 看 得 懂 的 名 字 , 会 
使 他 们 在 加 密 时 很 快 找到 想 要 的 密 钥 .【 分 配 姓 名 和 电子 信箱 对话 框 如 图 3. 7 所 示 。 

在 图 3. 7 所 示 的 对 话 框 中 单 击 【[ 下 一 步 ] 按 钮 ,弹出 【分 配 密码 对 话 框 , 在 【密码 了 和 【 确 
认 了 文本 框 中 输入 需要 的 密码 。 建 议 密码 大 于 8 位 ,并 且 最 好 包括 大 小 写字 母 、 空 格 、 数 字 、 


PGP 室 乌 生成 向 导 


分 配 姓名 和 电子 信箱 
每 一 个 密 铀 对 都 有 一 个 与 其 关联 的 姓名 ,姓名 和 电子 信箱 地 址 让 你 的 通信 人 知道 
AMIEG SS ARIETE 5. 


全 名 (E); "nein | 
被 关联 的 电子 信箱 地 址 和 你 的 密 钥 对 ,你 格 会 使 PGP 协 助 你 的 通信 人 在 与 你 通信 
时 选择 正确 的 公 铀 ， 


Email 阳 址 (E)。 434960008qq con | 


3.7 【分 配 姓名 和 电子 信箱 对 话 框 


标点 符号 等 。 为 了 方便 记忆 ,可 以 用 一 句 话 作为 密 钥 ,如 1am a boy。 最 妙 的 是 ,PGP 支持 
中 文 作为 密码 ,所 以 也 可 以 输入 “我 是 一 个 男孩 "等 。【 隐 藏 键入 ] 复 选 框 提示 是 否 显示 输入 
的 密码 【分 配 密码 ] 对 话 框 如 图 3. 8 所 示 。 
PEP 客 钥 生成 向 导 
分 配 密码 
你 的 秘 钥 梅 会 被 密码 保护 ,这 些 信息 很 重要 且 是 机 密 的 ,你 不 要 将 它 写 下 来 
你 的 密码 至 少 应 该 有 6 位 字符 长 度 ,并 包含 数字 和 字母 


回 隐 宗 键 入 (H) 


图 3. 8 【分 配 密码 ] 对 话 框 


在 图 3. 8 所 示 的 对 话 框 中 单 击 【下 一 步 ] 按 钮 ,进入 【 密 钥 生 成 进程 对 话 框 ,等 待 主 密 钥 
(Key) 和 次 密 钥 (Subkey) 生 成 。 单 击 【 下 一 步 3 按 钮 .进入 【完成 该 PGP 密 钥 生成 ] 对 话 框 ， 
单 击 【完成 3 按钮 ,用 户 密 钥 就 创建 好 了 。 


3.5.4 导出 并 分 发 密 铀 


启动 PGPkeys ,在 弹出 的 PGPkeys 窗口 中 将 看 到 密 钥 的 一 些 基 本 信息 ,如 有 效 性 (PGP 
系统 检查 是 否 符合 要 求 , 如 符合 ,就 显示 为 绿色 ) .信任 度 、 大 小 、 描 述 、 密 钥 ID、 创 建 时 间 、 到 
期 时 间 等 ,如 图 3. 9 所 示 。 


信息 加 每 技术 


doo wi 


网 络 安 会 项 大 与 实践 
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wangyulin 《434960008qq com> 
Á merlin (434990008qq. 


图 3.9 PGPKeys 窗口 中 的 密 钥 信息 


注意 : 这 里 的 用 户 其 实 是 以 一 个 “ 密 钥 对 ”的 形式 存在 的 ,也 就 是 说 ,其 中 包含 了 一 个 公 
钥 ( 公 有 密 钥 ,可 分 发 给 任何 人 ,别人 可 以 用 此 密 钥 来 对 要 发 给 其 他 人 的 文件 或 者 邮件 等 进 
行 加 密 ) 和 一 个 私 钥 (私人 密 钥 ,只 有 一 人 所 有 ,不 可 公开 分 发 ,此 密 钥 用 来 解密 别人 用 公 铀 
加 密 的 文件 或 邮件 ) 。 

用 私 钥 加 密 文件 ,再 把 公 钥 发 给 其 他 人 的 方法 是 ,导出 公 钥 ,扩展 名 为 . asc( 对 方 选择 
【文件 ] -开导 入 了 命令 即 可 )。 导 出 后 ,就 可 以 将 此 公 钥 放 在 用 户 的 网 站 上 (如 果 有 的 话 ) ,或 
者 发 给 信任 的 其 他 人 ,并 告诉 他 们 以 后 为 发 送 者 发 邮件 或 者 重要 文件 时 ,通过 PGP 使 用 此 
公 钥 加 密 后 再 发 送 。 这 样 做 一 是 能 防止 被 人 窃取 而 使 别人 看 到 一 些 个 人 隐私 或 者 商业 机 密 
的 东西 ; 二 是 能 防止 病毒 邮件 ,一 旦 看 到 没有 用 PGP 加密 过 的 文件 ,或 者 是 无 法 用 私 钥 解 
密 的 文件 或 邮件 ,就 能 进行 更 有 针对 性 的 操作 了 ,比如 删除 或 者 杀毒 。 这 种 方式 虽然 比 
以 前 的 文件 发 送 方式 和 邮件 阅读 方式 麻烦 一 点 ,但 是 能 更 安全 地 保护 用 户 的 隐私 或 公司 
的 秘密 。 


3.5.5 导入 并 设置 其 他 人 的 公 铀 


在 接收 到 朋友 发 的 公 钥 后 ,双击 扩展 名 为 . asc 的 公 钥 ,将 弹出 【选择 密 钥 了 对话 框 ,如 
图 3. 10 所 示 。 在 该 对 话 框 中 可 以 看 到 公 钥 的 基本 属性 ,如 有 效 性 .创建 时 间 , 信 任 度 等 , 便 
于 了 解 是 否 应 该 导入 此 公 钥 。 选 好 后 , 单 击 【 导 入 ] 按 钮 , 即 可 导入 。 


T EFEN 


图 3. 10 【选择 密 钥 对 话 框 


打开 PGPkeys, 在 弹出 的 窗口 中 就 能 在 密 钥 列表 里 看 到 刚才 导入 的 密 钥 , 如 图 3. 11 
所 示 。 


10122772 
文件 里) 编辑 到) FEV SHO 服务 器 G) 用 户 组 (6) EHW 
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s ^. ancyulin <434980008q4. com> 2048/1024 DH/DSS key pair 


图 3.11 查看 刚 导 入 的 密 钥 


在 图 3. 11 所 示 的 窗口 中 右 击 选中 的 密 钥 ,在 弹出 的 快捷 菜单 中 选择 [ 密 钥 属性 了 命令 ， 

便 能 查看 到 该 密 钥 的 全 部 信息 ,如 是 否 是 有 效 的 密 钥 .是否 可 信任 等 ,如 图 3. 12 所 示 。 
注意 : 在 图 3. 12 所 示 的 密 钥 属 性 对 话 框 wangyulin <43498000@qq. com> 

中 ,如 果 直 接 拖 动 〖 不 信任 的 了 滑 块 到 [信任 的 】 ua ren 

处 ,将 会 出 现 错误 信息 。 正 确 的 做 法 应 该 是 , 首 EE 

先 关闭 此 对 话 框 ,然后 在 图 3. 11 所 示 的 窗口 中 eei: HD5S 

右 南 选 中 的 密 钥 ,在 弹出 的 快捷 菜单 中 选择 [ 签 | ano nos 

名 ] 命 令 ,在 弹出 的 [PGP 密 钥 签名 】 对 话 框 中 单 tt 


MAH): AES-256 


E OK 按钮 ,将 会 弹出 要 求 为 该 公 钥 输入 密码 的 FEBRO 

对 话 框 ,输入 设置 用 户 时 的 那个 密码 短语 ,继续 momen 
reakawa) 

X4 OK 按钮 , 即 可 完成 签名 操作 。 在 图 3.11 ee 


所 示 的 窗口 中 查看 密 钥 列表 中 公 钥 的 属性 ,其 
【有 效 性 显示 为 绿色 ,表示 该 密 钥 有 效 。 右 击 选 
中 的 密 钥 ,在 弹出 的 快捷 菜单 中 选择 【 密 钥 属性 】 Heart) 
命令 ,再 一 次 在 弹出 的 对 话 框 中 将 [不 信任 的 3 滑 
块 拖 到 【信任 的 3 处 ,此 时 将 不 会 再 出 错 , 单 击 【 关 
闭 】 按 钮 即 可 完成 密 钥 属性 的 设置 。 在 图 3. 11 图 3.12 查看 密 钥 属性 

所 示 的 窗口 中 ,此 时 密 钥 列表 里 的 那个 公 钥 【[ 信 

任 度 〗 处 不 再 是 灰色 了 ,说 明 这 个 公 角 被 PGP 加 密 系 统 正式 接受 ,可 以 投入 使 用 了 。 关 闭 
PGPkeys 窗口 时 ,可 能 会 出 现 要 求 备份 的 窗口 ,建议 单 击 【现在 备份 3 按钮 并 选择 一 个 路 径 
进行 保存 ,比如 【我 的 文档 有 (备份 的 作用 是 防止 下 次 使 用 时 意外 删除 了 重要 用 户 )。 


3.5.6 使 用 PGP 发 送 加 密 邮 件 


3i 课业 任务 3-1 
Bob 是 WYL 公司 总 部 的 技术 开发 人 员 ,Alice 是 WYL 公司 分 部 的 技术 开发 人 员 。 身 
处 异地 的 Bob 与 Alice 现 需要 共同 开发 一 套 软 件 , 因 此 经 常 需要 通过 互联 网 使 用 邮件 交换 


口 十 六 进 再 2 鸭 


不 信任 的 g 信任 的 


(xm )J[ € 


1f8.& du GEEK. 


do wi 


网 络 安 会 技术 与 实践 


数据 ,而 这 套 软 件 里 的 文件 涉及 公司 的 核心 机 密 , 故 需要 在 传输 的 过 程 当中 注意 保密 性 。 

现在 采用 PGP 来 发 送 公 司 的 核心 机 密 ,Bob 的 邮箱 为 43498000@qq. com. Alice 的 邮 
4879 114034042 qq. com ,操作 步骤 如 下 : 

(D) Bob 与 Alice 分 别 利 用 PGP 生成 密 钥 对 ,然后 把 各 自 的 公 钥 导出 给 对 方 。 

(2) 下 面 讲解 如 何 给 Alice 发 送 加 密 邮 件 。Bob 接收 到 Alice 导出 的 公 钥 后 ,导入 到 自 
己 的 PGPKeys 窗口 中 ,如 图 3. 13 所 示 。 
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图 3.13 Bob 导入 Alice 的 密 钥 后 的 窗口 


(3) Bob 打开 自己 的 邮箱 ,把 要 加 密 的 邮件 原文 写 好 ,如 图 3. 14 所 示 。 
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图 3.14 Bob 写 好 要 发 送 给 Alice 的 机 密 邮 件 


(4) Bob 采用 PGP 加 密 的 操作 步骤 是 ,首先 把 邮件 的 IE 窗口 设置 成 当前 窗口 ,然后 单 
击 Windows 任务 栏 的 PGP 托盘 ,选择 【当前 窗口 >【 加 密 ] 命 令 , 在 弹出 的 PGPtray 密 钥 选 
择 对 话 框 中 选择 Alice 的 公 钥 ,如 图 3. 15 所 示 , 单 击 【 确 定 ] 按 钮 ,加 密 后 的 内 容 如 图 3. 16 
所 示 , 单 击 【 发 送 ] 按 钮 ,把 邮件 发 送 给 Alice, 
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图 3.15 选择 加 密 邮 件 所 需要 的 公 钥 
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图 3.16 加 密 后 的 邮件 


(5) 当 Alice 收 到 Bob 发 给 自己 的 邮件 后 ,把 邮件 的 IE 窗口 置 成 当前 窗口 ,然后 单 击 
Windows 任务 栏 右 下 角 的 PGP 托盘 .选择 [当前 窗口 >【 解 密 & 校 验 ] 命 令 , 在 弹出 的 如 
图 3. 17 所 示 的 对 话 框 中 ,输入 Alice 创建 密 钥 时 保护 私 钥 的 密码 , 单 击 【 确 定 ] 按 钮 ,将 弹出 
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如 图 3. 18 所 示 的 解密 后 的 PGP 文本 查看 器 ,明文 即 是 被 选中 的 部 分 。 
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图 3.17 输入 保护 私 钥 的 密码 
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图 3.18 解密 后 的 文本 查看 器 
至 此 ,一 次 加 密 邮件 的 发 送 就 结束 了 。 
3.5.7 使 用 PGP 加 密 磁 盘 


3 课业 任务 3-2 

Bob 所 用 计算 机 的 硬盘 中 有 很 多 公司 的 核心 文件 , 因 怕 其 被 泄露 ,因此 需要 把 这 些 文件 
保护 起 来 。 

Bob 现在 要 做 是 采用 PGP 创建 加 密 磁 盘 , 把 重要 的 文件 放 到 PGPdisk 中 ,操作 步骤 
WF: 

COD 单 击 任务 栏 上 的 PGP 托盘 ,选择 PGPdisk 5r gd dá 4 . an 3.19 所 示 。 

(2) 在 弹出 的 创建 向 导 中 单 击 【 下 一 步 3 按 钮 ,将 弹出 [PGPdisk 位 置 和 大 小 ] 对 话 框 , 如 
图 3. 20 所 示 , 选择 PGPdisk 所 保存 的 位 置 ,并 设置 PGPdisk 大 小 ,本 任务 选择 的 
是 1024MB。 


PGPdisk 创建 向 导 
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你 现在 必须 为 你 的 PGPdisk 指 定 一 个 位 置 和 大 小 ,也 可 以 单 击 "高 级 选项 "进一步 
的 设置 你 的 PGPdisk 以 符合 你 的 要 求 ， 
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图 3.19 选择 PGPdisk 选项 命令 3.20 设置 PGPdisk 的 位 置 和 大 小 


G) 在 图 3. 20 所 示 的 对 话 框 中 单 击 [高 级 选项 按钮 ,在 弹出 的 [选项 ] 对 话 框 中 确定 一 
个 驱动 器 名 ,本 任务 选择 的 是 Z: ,再 选择 一 个 加 密 算 法 ,本 任务 选择 的 是 CAST5(128bits)， 
最 后 选择 一 个 文件 系统 格式 ,本 任务 选择 的 是 FAT32, 如 图 3. 21 所 示 。 

(4) 在 图 3. 20 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 【选择 一 个 保护 方法 对 话 框 ， 
该 对 话 框 中 有 两 种 选择 ,一 是 密码 ,二 是 公 钥 ,本 任务 选择 的 是 Bob 的 公 钥 ,如 图 3. 22 和 
图 3.23 所 示 。 
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OENES ES1E—- B RONIRRWNZO00MWinXP): ommo 
| OEO 


选择 一 个 保护 方法 
选 定 你 愿意 使 用 的 保护 你 PGPdisk 的 方法 ,你 的 密 崩 环 上 的 密 钥 或 公 胃 也 能 保护 
B. 


选择 一 个 加 密 算法 (E): 
[casts (128 bis) x] 


选择 一 个 文件 系统 格式 


TZINEENEN ~ 


[7| estet) TEO Con) C [和 |] 


Æ 3.21 设置 PGPdisk 的 高 级 选项 图 3.22 选择 保护 磁盘 的 方法 


(5) 在 图 3. 23 所 示 的 对 话 框 中 单 击 【 下 一 步 ] 按 钮 ,弹出 【PGPdisk 创建 进程 3 对 话 
框 。 用 户 可 分 两 步 创 建 PGPdisk, 第 一 步 是 加 密 磁盘 ,第 二 步 是 格式 化 磁盘 ,如 图 3. 24 
所 示 。 

(6) 磁盘 创建 完成 后 ,就 会 在 【我 的 电脑 3 窗口 中 多 出 一 个 Z 盘 ,此 盘 就 是 PGP 所 创建 
的 加 密 磁盘 ,如 图 3. 25 所 示 。 


How 


18. & du GEHE. 
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PGPdisk 创建 向 导 


先 撞 一 个 公 钥 
你 的 PGPdisk 格 会 被 一 个 公 胃 保护 .请 从 下 面 的 列表 中 选择 一 个 ， 


| eu 有 效 性 大 小 
Slice <114034048aa con? &@ 2048/1024 


cron C * [ 


L1] 


3.23 选择 保护 磁盘 的 公 钥 


PcPdisk 创建 向 导 


PGPdisk 创建 进程 
ma 在 格 会 被 初始 化 并 准备 使 用 .依据 PGPdisk 的 大 小 ,这 需要 几 分 


PGPdsk SiS 


图 3.24 加 密 与 格式 化 磁盘 


T 我 的 电脑 
文件 人 GEO) 查看 WW KAW IAV HHW 
o O- 8 pm Dr 国 - 


Hito | S) 我 的 电脑 
在 这 合计 算 机 上 存储 的 文件 
系统 任务 


DER 
a 


JPE 


查看 系统 信息 ] Administrator 的 文 
ln 着 


动 EREE 
G meram 


QP ttaa co QP e o 
Q e o QP er 


详细 信息 
v edis ELIT 

文件 系统 : FAT32 

可 用 空间 ; 0.98 GB 


9) DVD-A EDS 0) 


总 大 小 : 0.98 GB ~ 
sD 


图 3.25 Z 盘 为 PGP 创建 的 加 密 磁盘 


E) 


Qo o (ale a 


CT) 此 磁盘 与 一 般 的 磁盘 使 用 方法 一 样 , 在 不 使 用 此 磁盘 时 ,要 进行 反 装配 ,操作 步 又 
是 , 先 选择 此 磁盘 ,然后 右 击 ,在 弹出 的 快捷 菜单 中 选择 PGP DU RE PGPdisk] 命 令 ,此 
时 Z 盘 就 隐藏 了 ,如 图 3.26 所 示 。 

(8) 如 果 要 使 用 此 磁盘 中 的 文件 ,要 进行 装配 磁盘 。 操 作 步 又 是 , 单 击 任 务 栏 上 的 PGP 
托盘 ,选择 PGPdisk 一 【装配 磁盘 命令 ,如 图 3. 19 所 示 , 选 择 要 装配 磁盘 的 文件 ,确定 后 会 
弹出 如 图 3. 27 所 示 的 [输入 密码 ] 对 话 框 ,正确 输入 保护 PGPdisk 的 密码 后 ,就 可 以 正常 使 
用 此 磁盘 中 的 文件 了 。 


gps co WM 再 一 
资源 首 理 器 &) 
Bro 
共享 和 安全 9 
BE Acrobat 中 合并 支持 的 文件 
DENIER W 
WEM “Archive. rar” T) 
BS mil 
BERD “Archive. rar" 并 E-mail 


为 "新 PGPdsk 卷 ,pgd 输入 一 个 密码 ; 
Sup: EAW 


BÈLA 


kW 


[TET Suc 
RREI O 
Eag w 
mu Xn)... 确定 (2) Aic. 
图 3.26 ”选择 [ 反 装配 PGPdisk] 命 令 3. 27 【输入 密码 ] 对 话 框 


3.6 基于 密 钥 的 SSH 安全 认证 


3.6.1 SSH 概述 


SSH 为 Secure Shell 的 缩写 ,由 IETF 的 网 络 工作 小 组 (Network Working Group) 所 制 
4E. SSH 为 建立 在 应 用 层 上 的 安全 协议 。SSH 是 目前 较 可 靠 的 专 为 远程 登录 会 话 和 其 他 网 
络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防止 远程 管理 过 程 中 的 信息 泄露 问题 。 

传统 的 网 络 服务 程序 ,如 FTP.POP3 和 Telnet, 在 本 质 上 都 是 不 安全 的 ,因为 它们 在 网 
络 上 用 明文 传送 口令 和 数据 ,别有用心 的 人 可 以 非常 容易 地 截获 这 些 口 令 和 数据 。 而 且 , 这 
些 服务 程序 的 安全 验证 方式 也 是 有 其 弱点 的 ,就 是 很 容易 受到 “中 间 人 ”(Man In The 
Middle) 这 种 方式 的 攻击 。 通 过 使 用 SSH ,用户 可 以 把 所 有 传输 的 数据 进行 加 密 , 这 样 “中 
间 人 ”这 种 攻击 方式 就 不 可 能 实现 了 。 而 且 , 使 用 SSH 也 能 够 防止 DNS A IP 欺骗。 另外 ， 
还 有 一 个 额外 的 好 处 就 是 传输 的 数据 是 经 过 压缩 的 ,所 以 可 以 加 快 传输 的 速度 。SSH 有 很 
多 功能 , 它 既 可 以 代替 Telnet ,又 可 以 为 FTP.POP3 甚至 PPP 提供 一 个 安全 的 “通道 ”。 

从 客户 端 来 看 ,SSH 提供 两 种 级 别 的 安全 验证 。 

第 一 种 级 别 是 基于 口令 的 安全 验证 ,只 要 用 户 知道 自己 账号 和 口令 ,就 可 以 登录 到 远程 
主机 。 所 有 传输 的 数据 都 会 被 加 密 , 但 是 不 能 保证 正在 连接 的 服务 器 就 是 用 户 想 连接 的 服 
务 器 ,可 能 会 有 别 的 服务 器 在 冒充 真正 的 服务 器 ,也 就 是 受到 “中 间 人 ”这 种 方式 的 攻击 。 

第 二 种 级 别 是 基于 密 钥 的 安全 验证 ,需要 依靠 密 钥 ,也 就 是 用 户 必须 为 自己 创建 一 对 密 


1f8.& du GEEK. 


doo wi 
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钥 , 并 把 公用 密 钥 放 在 需要 访问 的 服务 器 上 。 如 果 要 连接 到 SSH 服务 器 上 ,客户 端 软件 就 
会 向 服务 器 发 出 请 求 , 请 求 用 用 户 的 密 钥 进行 安全 验证 。 服 务 器 收 到 请 求 之 后 ,会 先 在 该 服 
务 器 上 的 主 目录 下 寻找 用 户 的 公 钥 ,然后 把 它 和 用 户 发 送 过 来 的 公 钥 进行 比较 。 如 果 两 个 
密 钥 一 致 ,服务 器 就 用 公 角 加密“ 质询 ”Challenge) 并 把 它 发 送 给 客户 端 软件 。 客 户 端 软件 
收 到 “质询 ”之 后 就 可 以 用 用 户 的 私 钥 解 密 把 它 发 送 给 服务 器 。 用 这 种 方式 时 ,用 户 必须 知 
道 自己 密 钥 的 口令 。 与 第 一 种 级 别 相 比 ,第 二 种 级 别 不 需要 在 网 络 上 传送 密码 。 

第 二 种 级 别 不 仅 可 以 加 密 所 有 传送 的 数据 ,而 且 “ 中 间 人 ”这 种 攻击 方式 也 是 不 可 能 成 
功 的 (因为 攻击 者 没有 私人 密 匙 ) 。 


3.6.2 基于 密 铀 的 SSH 安全 认证 (Windows 环境 ) 


A 课业 任务 3-3 

Bob 是 WYL 公司 的 Web 开发 人 员 ,他 的 计算 机 客户 端 安装 的 是 Windows XP 操作 系 
统 ,公司 服务 器 放置 在 公司 的 网 络 中 心 ,安装 的 都 是 RHEL6 操作 系统 ,Bob 需要 在 公司 的 
任何 Windows XP 操作 系统 上 都 能 安全 地 远程 管理 这 些 服务 器 。 

在 前 面 的 章节 中 了 解 到 ,远程 管理 Telnet 是 一 种 不 安全 的 协议 , 它 所 有 的 数据 包 都 是 
以 明文 的 形式 在 网 络 上 进行 传输 的 ,只 要 有 人 使 用 嗅 探 软件 ,就 可 以 侦 听 到 服务 器 的 用 户 名 
与 密码 ,非常 不 安全 。 因 此 ,Bob 在 本 任务 中 采用 SSH 认证 的 方法 来 实现 安全 地 远程 管理 
服务 器 。Bob 的 计算 机 ( 即 下 文 操作 步骤 中 提 到 的 客户 机 ) 需 要 下 载 PuTTY 与 PuTTYgen 
这 两 个 软件 ,首先 使 用 PuTTYgen 产生 一 对 密 钥 ,把 公 钥 上 传 至 装 有 RHEL6 的 服务 器 , 私 
钥 保 存在 自己 的 计算 机 中 ,然后 , Bob 就 可 以 使 用 PuTTY 这 个 软件 安全 地 远程 管理 
RHEL6 服务 器 ,具体 操作 步 又 如 下 : 

(1) 设置 好 服务 器 与 客户 机 的 IP 地 址 ,保证 它们 的 连通 性 ,假设 服务 器 的 IP 地 址 为 
192. 168. 255. 2/24 ,客户 机 的 IP 地 址 为 192. 168. 255. 1/24。 

(2) 在 客户 机 上 使 用 PuTTYgen 软件 产生 密 钥 对 。PuTTYgen 是 一 款 可 以 产生 密 钥 
的 工具 ,可 以 生成 RSA 及 DSA 类 型 的 密 钥 ,如 图 3. 28 所 示 。 在 产生 密 钥 的 过 程 中 ,为 了 产 

if PuITY 密 钥 生成 器 

文件 到) SHO PRV WHW 
— 
et 


P/2drvqEAS fZ: Sz iaPHPy6GKeEI YreX t Tw zh8120 Eul 
rsa- rM 


SRT: Ee 
WRR: a-key-20110417 

THEBA: (eee 

确认 密码 0) ; m 

动作 

seas 
载 入 已 保存 的 舟 铀 文件 C æo ) 
Suse Camo | 


sR 


生成 的 密 钥 类 型 : 
Osski si) OO ssi-2 RSA O ssit-2 DSA 
ARE D : hoe 1] 


图 3.28 使 用 PuTTYgen 生成 密 钥 对 


生 一 些 随机 的 数据 ,应 在 程序 的 窗口 随机 移动 鼠标 指针 (否则 进度 条 不 会 改变 )。 密 钥 生 成 


后 ,出 于 安全 性 考虑 ,程序 会 提示 输入 保护 私 钥 的 密码 。 
(3) 保存 密 钥 。 分 别 单 击 【 保 存 公 钥 3 按 钮 和 【保存 私 钥 ] 按 钮 ， 
钥 文 件 名 为 secret. ppk。 
(4) 在 客户 机 上 传输 公 钥 文件 public 到 RHEL6 服务 器 。 因 


公 钥 文件 名 为 public, 私 


为 公 钥 文件 是 可 以 公开 


的 ,传输 时 不 必 考 虑 安全 问题 ,可 以 使 用 FTP、 电 子 邮 件 、U 盘 复 制 的 方法 。 
(5) 转换 公 钥 文件 格式 。 因 为 PuTTYgen 产生 的 公 钥 文件 格式 与 OpenSSH 程序 所 使 
用 的 格式 不 一 样 ,因此 应 输入 “ssh. keygen-i-f public > authorized_keys” 命 令 进 行 转换 , 转 


换 后 的 文件 名 为 authorized_keys, 并 将 此 文件 复制 到 /root/. ssh/ A 


录 中 。 


(6) 在 客户 机 上 使 用 PuTTY 远程 登录 到 服务 器 上 ,在 使 用 PuTTY 进行 远程 登录 时 ， 


必须 选择 私 钥 secret. ppk, 如 图 3. 29 所 示 。 
X PuTTY 配置 


SSH 认证 设置 
口 完 全 绕 过 认证 ， 只 限于 ssic2 0) 
认证 方式 
试 使 用 Pageant 认证 


TIS 或 crrtecard 认证 GS4-1) 00 
“智能 键盘 ”认证 (SSH-2) 0D 


认证 参数 
口 允 洗 代理 映射 下) 


ORME sso 中 修改 用 户 名 0) 
认证 私 钼 文件 QD : 
£x Mdnini strator MELOS t ppl] (JEW ] 


EEn 


图 3.29 选择 私 钥 secret. ppk 


(7) 远程 登录 成 功 后 ,界面 如 图 3. 30 所 示 , 在 输入 “root” 之 后 ， 


并 不 是 要 求 输入 root 的 


密码 ,而 是 询问 私 钥 的 密码 。 至 此 ,Bob 就 不 必 担心 用 户 名 、 密 码 以 及 所 输入 的 命令 被 窃听 ， 


可 以 安全 地 管理 RHEL6 服务 器 了 。 


if root@localhost:™ 


图 3. 30 使 用 密 钥 管理 RHEL6 的 界面 


fA AER 


doo 3d 


网 络 安 会 项 大 与 实践 


3.6.3 基于 密 钥 的 SSH 安全 认证 (Linux 环境 ) 


A 课业 任务 3-4 

Bob 是 WYL 公司 的 Web 开发 人 员 , 他 的 计算 机 客户 端 安装 的 是 RHEL6 操作 系统 , 公 
司 服务 器 放置 在 公司 的 网 络 中 心 ,安装 的 也 是 RHEL6 操作 系统 ,Bob 想 要 在 他 的 RHEL6 
操作 系统 上 安全 地 远程 管理 这 些 服务 器 ,操作 步骤 如 下 : 

(1) 在 Bob 计算 机 的 RHEL6 操作 系统 中 产生 密 钥 对 。 

Dl[root@localhost ~]# ssh- keygen- t rsa 

Generating public/private rsa key pair. 

@Enter file in which to save the key (/root/. ssh/id rsa) E 

Enter passphrase (empty for no passphrase): 

(DEnter same passphrase again: 

(S) Your identification has been saved in /root/.ssh/ id rsa. 

(& Your public key has been saved in /root/.ssh/id rsa.pub. 

The key fingerprint is: 

23:7c:02:8b:09:55:35:25:a2:db:7c:d1:31:15:cc:14 root(4 localhost. localdomain 

注意 : 

(D 为 输入 “ssh-keygen-t rsa” 命 令 产 生 公 钥 对 。 

© 询问 是 否 将 私 钥 文 件 名 保存 为 id_rsa。 

@ 和 人 @ 为 输入 保护 私 钥 的 密码 。 

© 为 将 私 钥 文 件 保存 至 /root/. ssh/id_rsa。 

© 为 将 公 钥 文件 保存 至 /root/. ssh/id_rsa. pub. 

(2) Bob 将 公 钥 文件 复制 到 RHEL6 服务 器 , RHEL6 服务 器 的 IP 地 址 为 192. 168. 
255. 3/24, 


[root(2localhost .ssh]# ssh- copy- id - i id rsa. pub root(2192.168.255.3 


(3) 步骤 (2) 将 Bob 的 公 钥 文件 复制 到 了 RHEL 服务 器 的 /root/. ssh/ 目 录 下 ,将 公 钥 文 
件 更 名 为 authorized_keys,Bob 就 可 以 在 客户 机 上 远程 管理 RHEL6 服务 器 了 ,操作 如 下 。 

[root@localhost ~]# ssh - i /root/.ssh/id rsa root@192.168.255.3 

@Enter passphrase for key '/root/.ssh/id rsa': 

Last login: Mon Mar 28 04:20:22 2011 

[root(2WebServer ~] # 

注意 : 

(D 为 使 用 私 铀 去 管理 RHEL6 服务 器 的 命令 。 

®© 为 输入 保护 私 钥 的 密码 。 

通过 以 上 操作 后 ,Bob 就 可 以 在 Linux 客户 端 下 安全 地 去 管理 RHEL6 服务 器 了 。 


练 习 题 


1. 选择 题 
CD 就 目前 计算 机 设备 的 计算 能 力 而 言 ,数据 加 密 标准 DES 不 能 抵抗 对 密 钥 的 穷 举 搜 


索 攻击 ,其 原因 是 ( Ji, 
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A. DES 算法 是 公开 的 
B. DES 的 密 钥 较 短 
C. DES 除了 其 中 的 S 盒 是 非 线性 变换 外 ,其 余 变 换 均 为 线性 变换 
D. DES 算法 简单 
(2) 数字 签名 可 以 做 到 ( Jo 
A. 防止 窃听 
B. 防止 接收 方 的 抵赖 和 发 送 方 伪造 
C. 防止 发 送 方 的 抵赖 和 接收 方 伪造 
D. 防止 窃听 者 攻击 
(3) 下 列 关 于 PGP(Pretty Good Privacy) 的 说 法 不 正确 的 是 ( ^. 
A. PGP 可 用 于 电子 邮件 ,也 可 以 用 于 文件 存储 
B. PGP 可 选用 MD5 和 SHA 两 种 Hash 算法 
C. PGP 采用 了 ZIP 数据 压缩 算法 
D. PGP 不 可 使 用 IDEA 加密 算 法 
CD 为 了 保障 数据 的 存储 和 传输 安全 ,需要 对 一 些 重要 数据 进行 加 密 。 由 于 对 称 加 密 算 
(D ), 所 以 特别 适合 对 大 量 的 数据 进行 加 密 。DES 实际 的 密 钥 长 度 是 ( O ) 位 。 
(D A. 比 非 对 称 加 密 算法 更 安全 
B. 比 非 对 称 加 密 算法 密 钥 长 度 更 长 
C. 比 非 对 称 加 密 算 法 效率 更 高 
D. 还 能 同时 用 于 身份 认证 
© A.56 B. 64 C. 128 D. 256 
C5) 使 用 Telnet 协议 进行 远程 管理 时 ,( Ne 
A. 包括 用 户 名 和 口令 在 内 ,所 有 传输 的 数据 都 不 会 被 自动 加 密 
B. 包括 用 户 名 和 口令 在 内 ,所 有 传输 的 数据 都 会 被 自动 加 密 
C. 用 户 名 和 口令 是 加 密 传输 的 ,其 他 数据 则 是 以 明文 方式 传输 的 
D. 用 户 名 和 口令 是 不 加 密 传输 的 ,其 他 数据 则 是 以 加 密 传输 的 
(6) 以 下 不 属于 对 称 加 密 算 法 的 是 ( P 


A. IDEA B. RC €. DES D. RSA 
CD 以 下 算法 中 属于 非 对 称 算 法 的 是 ( Js 

A. Hash 算法 B. RSA 算法 

C. IDEA D. =% DES 
(8) 以 下 不 属于 公 钥 管理 的 方法 是 ( Wa 

A. 公开 发 布 B. 公用 目录 表 

C. 公 钥 管理 机 构 D. 数据 加 密 
(9) 以 下 不 属于 非 对 称 加 密 算法 特点 的 是 ( Js 

A. 计算 量 大 B. 处 理 速度 慢 

C. 使 用 两 个 密码 D. 适合 加 密 长 数据 


do 3 


信息 加 每 技术 


BHAERAK^5ExX 


2. 填空 题 

a) 的 重要 性 在 于 赋予 消息 M 唯一 的 “指纹 ”, 其 主要 作用 是 验证 消息 M 的 完 
整 性 。 

(2) 非 对 称 加 密 算法 有 两 把 密 钥 ,一 把 称 为 私 钥 , 另 一 把 称 为 ^ 

(3) IDEA 是 目前 公开 的 非常 好 的 和 非常 安全 的 分 组 密码 算法 之 一 , 它 采 用 位 
密 钥 对 数据 进行 加 密 。 

(4) RSA 算法 的 安全 是 基于 分 解 的 难度 。 

(5) 技术 是 指 一 种 将 内 部 网 络 与 外 部 网 络 隔离 的 技术 ,以 防止 外 部 用 户 对 内 
部 用 户 进行 攻击 。 

(6) MD5 把 可 变 长 度 的 消息 哈 希 成 位 固定 长 度 的 消息 。 

CD 在 DES 算法 的 加 密 过 程 中 ,输入 的 明文 长 度 是 位 ,整个 加 密 过 程 需 经 过 

轮 的 子 变 换 。 

(8) 在 密码 学 中 通常 将 源 消 息 称 为 ,将 加 密 后 的 消息 称 为 。 这 个 变 
换 处 理 过 程 称 为 过 程 , 它 的 逆 过 程 称 为 过 程 。 

3. 简 答 题 

CD 对 称 加 密 算 法 与 非 对 称 加 密 算 法 有 哪些 优 缺点 ? 

(2) 如 何 验证 数据 完整 性 ? 

G) 散 列 算法 有 何 特点 ? 

(4) 简要 说 明 DES 加 密 算法 的 关键 步骤 。 

(5) 什么 情况 下 需要 数字 签名 ? 简 述 数字 签名 的 算法 。 

(6) 什么 是 身份 认证 ? 用 哪些 方法 可 以 实现 ? 

(7) DES 算法 的 基本 原理 和 主要 步骤 是 什么 ? 

(8) RSA 算法 的 基本 原理 和 主要 步骤 是 什么 ? 

4. 综合 应 用 题 

WYL 公司 的 业务 员 甲 与 客户 乙 通 过 Internet 交换 商业 电子 邮件 。 为 保障 邮件 内 容 的 
安全 ,采用 安全 电子 邮件 技术 对 邮件 内 容 进 行 加 密 和 数字 签名 。 安 全 电子 邮件 技术 的 实现 
原理 如 图 3.31 所 示 。 根 据 要 求 , 回 答 问题 1 至 问题 4, 并 把 答案 填 人 下 表 对 应 的 位 置 。 


(1) (2) (3) (4) (5) (6) (7) (8) (9) (10) 


【问题 1】 
为 图 3. 31 中 的 (1) 一 (4) 处 选择 合适 的 答案 。 
(1) 一 (4) 的 备 选 答案 如 下 : 


A. DES 算法 B. MD5 算法 C. 会 话 密 钥 D. 数字 证 书 
E. 甲 的 共 钥 F. 甲 的 私 钥 G. £I 3548 H. 乙 的 私 钥 
【问题 2 


以 下 关于 报 文 摘要 的 说 法 正确 的 有 CO . (6) 
(5) 和 (6) 的 备 选 答案 如 下 : 


发 送 方 jemasi 4 己 的 私 钥 接收 方 
[ng && -— A 

irt H 加 密 解密 H 邮件 

1 

邮件 —e 邮件 摘要 

d 元 解 i 

Ta d "m 

摘要 - 签名 | - is | - 验证 

KEY(3) KEY(4) 


3.31 安全 电子 邮件 技术 的 实现 原理 


A. 不 同 的 邮件 很 可 能 生成 相同 的 摘要 B. 由 邮件 计算 出 其 摘要 的 时 间 非 常 短 
C. 由 邮件 计算 出 其 摘要 的 时 间 非 常 长 D. 摘要 的 长 度 比 输入 邮件 的 长 度 长 
E. 不同 邮件 计算 出 的 摘要 长 度 相同 F. 仅 根 据 摘要 很 容易 还 原 出 原 邮 件 


【问题 3] 


甲 使 用 Outlook Express 撰写 发 送 给 乙 的 邮件 ,他 应 该 使 用 (7)〉_ 的 数字 证 书 来 添加 


数字 签名 ,使 用 O 的 数字 证 书 来 对 邮件 加 密 。 


(7) 和 (8) 的 备 选 答案 如 下 : 

A. Ħ B. Z C. 第 三 方 D. CA 认证 中 心 

【问题 4 

乙 收 到 了 地 址 为 甲 的 含 数 字 签 名 的 邮件 ,他 可 以 通过 验证 数字 签名 来 确认 的 信息 有 
(9) 、 (10) 

(9) 和 (10) 的 备 选 答案 如 下 : 

A. 邮件 在 传送 过 程 中 是 否 加 密 B. 邮件 中 是 否 含 病毒 

C. 邮件 是 否 被 自 改 D. 邮件 的 发 送 者 是 否 是 甲 
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第 4 章 防火 墙 技术 


防火 墙 是 一 种 综合 性 技术 ,用 于 加 强 网 络 间 的 访问 控制 ,防止 外 部 用 户 非法 使 用 内 部 资 
源 , 保 护 企 业内 部 网 络 的 设备 不 被 破坏 .防止 企业 内 部 网 络 的 敏感 数据 被 窃取 。 防 火 墙 在 物 
理 上 表现 为 一 个 或 一 组 带 特殊 功能 的 网 络 设备 , 它 在 内 部 网 和 外 部 网 之 间 的 边界 上 构造 一 
个 保护 层 , 强 制 所 有 的 访问 和 连接 都 必须 经 过 这 一 层 , 并 在 此 进行 检查 和 连接 ,只 有 被 授权 
的 通信 才能 通过 这 一 层 。 在 各 种 网 络 安全 产品 中 ,成 熟 最 早 、 用 得 最 多 的 应 属 防火 墙 产 品 。 
本 章 主要 讲解 包 过 滤 防 火 墙 .应 用 网 关 型 防火 墙 与 状态 检测 防火 墙 的 工作 原理 ,并 通过 6 个 
实际 课业 任务 ,学 习 这 3 类 防火 墙 的 应 用 与 配置 。 

» 学 习 目 标 : 

。 熟悉 防火 墙 技术 的 基本 概念 ,包括 信任 区 、 非 信任 区 .DMZ X, SNAT, DNAT, 

ACL 等 。 

。 掌握 SNAT 的 工作 原理 ,以 及 使 用 防火 墙 让 内 部 网 络 用 户 访问 互联 网 的 配置 。 

。 掌握 DNAT 的 工作 原理 ,以 及 使 用 防火 墙 发 布 内 部 网 络 的 服务 器 的 配置 。 

。 掌握 应 用 网 关 型 防火 墙 的 工作 原理 ,以 及 使 用 Squid 实现 基本 的 代理 与 用 户 认 证 的 

Jrik. 

。 掌握 状态 检测 防火 墙 的 工作 原理 ,以 及 UTM 防火 墙 的 配置 与 应 用 。 

yr 课业 任务 : 

本 章 通过 6 个 实际 课业 任务 ,由浅 入 深 、 循 序 渐进 地 介绍 包 过 滤 防 火 墙 、. 应 用 网 关 型 防 
火 墙 与 状态 检测 防火 墙 的 相关 原理 ,以 及 防火 墙 技术 在 现实 中 的 应 用 。 

3 课业 任务 4-1 

WYL 公司 使 用 RHEL6 操作 系统 作为 公司 的 Web 服务 器 ,为 了 保护 Web 服务 器 的 安 
全 ,使 用 包 过 滤 防 火 墙 Netfilter/Iptables 对 其 进行 保护 ,并 达到 以 下 要 求 : 

(1) 把 防火 墙 的 策略 设置 成 没有 被 允许 ,就 全 部 被 拒绝 。 

(2) 用 户 只 能 访问 Web 服务 器 。 

(3) 只 允许 管理 员 对 其 进行 远程 管理 。 

能 力 观 测 点 

包 过 滤 防 火 墙 原理 ; 使 用 iptables 进行 基本 的 包 过 滤 设 置 。 

Sh 课业 任务 4-2 

WYL 公司 在 设计 公司 局 域 网 时 ,规划 了 一 台 Netfilter/Iptables 防火 墙 ,防火 墙 的 ethl 
接口 连接 内 部 网 络 ,eth0 接口 连接 外 部 网 络 , 现 在 的 需求 是 ,使 用 防火 墙 使 内 网 所 有 用 户 都 
共享 一 个 出 口 IP 地 址 访问 互联 网 。 


能 力 观测 点 

SNAT 原理 ; 使 用 Iptables 让 内 网 所 有 用 户 上 网 。 

色 课业 任务 4-3 

WYL 公司 在 设计 公司 内 部 Web 服务 器 时 ,规划 了 一 台 Netfilter/Iptables 防火 墙 , 防 
火 墙 的 ethl 接口 连接 内 部 网 络 ,eth0 接口 连接 外 部 网 络 , 现 在 的 需求 是 ,使 用 防火 墙 使 内 网 
的 Web 服务 器 通过 防火 墙 发 布 至 互联 网 。 

能 力 观测 点 

DNAT 原理 ; 使 用 Iptables 发 布 内 网 中 的 服务 器 。 

$i 课业 任务 4-4 

WYL 公司 通过 应 用 网 关 型 防火 墙 来 提高 企业 内 部 用 户 访问 互联 网 的 速度 和 保护 企业 
内 部 用 户 的 安全 。WYL 公司 的 网 络 拓扑 如 图 4.7 所 示 , 企 业内 部 用 户 的 客户 端 均 使 用 
Windows XP 操作 系统 ,其 中 设计 部 位 于 192. 168. 0. 0/24 网 段 ,财务 部 位 于 192. 168. 1. 0/24 
网 段 ,市 场 部 位 于 192. 168. 2. 0/24 网 段 , 企 业 代 理 服务 器 安装 的 是 RHEL6 操作 系统 , 现 要 
求 在 代理 服务 器 上 进行 相关 配置 ,以 达到 以 下 要 求 : 

(1) 财务 部 不 允许 访问 互联 网 。 

(2) 市 场 部 可 以 在 工作 时 间 ( 周 一 至 周 五 的 9:00 一 18:00) 内 访问 互联 网 ,但 只 能 下 载 与 
工作 有 关 的 文件 (TXT、DOC、XLS、PPT.、PDF)。 

(3) 其 他 用 户 没有 上 网 限制 。 

能 力 观测 点 

应 用 代理 型 防火 墙 原理 ; Squid 的 基本 配置 。 

A 课业 任务 4-5 

在 课业 任务 4-4 中 配置 的 代理 服务 器 实现 了 让 内 网 用 户 访问 互联 网 .屏蔽 内 部 网 络 、 提 
高 内 网 的 安全 性 与 访问 速度 等 功能 。 为 了 实现 更 高 的 安全 性 ,可 以 在 代理 服务 器 上 启用 用 
户 认 证 功能 ,这 样 只 有 合法 的 用 户 才 可 以 通过 验证 访问 互联 网 ,非法 的 用 户 则 通过 不 了 认 
证 ,也 就 无 法 访问 互联 网 。 

能 力 观 测 点 

用 户 认 证 原理 ; 用 户 认 证 的 配置 。 

3i 课业 任务 4-6 

图 4.14 所 示 是 WYL 公司 构建 的 拓扑 ,防火 墙 选择 Fortinet 公司 的 UTM 产品 
FortiGate 3600, 其 中 防火 墙 的 internal 接口 连接 的 是 内 部 网 络 ,portl 接口 连接 的 是 外 部 网 
络 ,external 接口 连接 的 是 DMZ 区 域 。 现 在 要 求 内 部 用 户 能 通过 防火 墙 的 NAT 功能 访问 
互联 网 资源 ,并 将 内 部 网 络 中 的 Web Server 通过 防火 墙 发 布 出 去 。 

能 力 观测 点 

状态 检测 防火 墙 原 理 ; UTM 防火 墙 的 配置 与 应 用 。 


4.1 防火 墙 技术 概述 


4.1.1 防火 墙 的 定义 
在 古代 ,房子 多 是 木 制 的 ,为 了 防止 一 个 房屋 着 火 而 蔓延 到 其 他 房屋 ,在 房屋 与 房屋 之 
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间 用 石头 堆砌 一 堵 墙 , 称 为 防火 墙 ,如 图 4. 1 所 示 。 

网 络 里 的 防火 墙 不 是 指 为 了 防火 而 设置 的 墙 ,而 是 指 隔离 在 本 地 网 络 与 外 界 网 络 之 间 
的 一 道 防御 系统 ,如 图 4.2 所 示 。 防 火 墙 是 指 设置 在 信任 程度 不 同 的 网 络 (如 公共 网 和 企业 
内 部 网 ) 或 网 络 安全 域 之 间 的 一 系列 的 软件 或 硬件 设备 的 组 合 。 


Jnside Network 


图 4.1 古代 用 于 防火 的 墙 图 4.2 网 络 里 的 防火 墙 


防火 墙 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ,以 防止 发 生 不 可 预测 的 、 潜 在 
破坏 性 的 侵入 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 ,能 根据 企业 的 安全 策 
略 控制 (允许 拒绝, 监测) 出 入网 络 的 信息 流 , 且 本 身 具 有 较 强 的 抗 攻击 能 力 。 它 是 提供 信 
息 安全 服务 实现 网 络 和 信息 安全 的 基础 设施 。 在 逻辑 上 ,防火 墙 是 一 个 分 离 器 ,一 个 限制 
器 ,也 是 一 个 分 析 器 , 它 有 效 地 监控 了 内 部 网 络 和 互联 网 之 间 的 任何 活动 ,保证 了 内 部 网 络 
的 安全 。 


4.1.2 防火 墙 的 发 展 


防火 墙 技术 经 历 了 包 过 滤 防 火 墙 、 应 用 网 关 型 防火 墙 ,状态 检测 防火 墙 3 个 阶段 。 

1. 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 工作 在 网 络 层 , 对 数据 包 的 源 及 目地 IP 具有 识别 和 控制 作用 ,但 对 于 传 
输 层 ,只 能 识别 数据 包 是 TCP 还 是 UDP 及 所 用 的 端口 信息 。 现 在 的 路 由 器 、 三 层 交 换 机 及 
某 些 操作 系统 已 经 具有 了 使 用 包 过 滤 控 制 的 能 力 。 本 章 主 要 以 Netfilter/Iptables 为 例 , 讲 
解 包 过 滤 防 火 墙 。 

由 于 只 对 数据 包 的 TP 地 址 、TCP/UDP 协议 和 端口 进行 分 析 , 因 此 包 过 滤 防 火 墙 的 处 
理 速度 较 快 ,并 且 易 于 配置 。 

包 过 滤 防 火 墙 具有 的 根本 缺陷 如 下 : 

CD 不 能 防范 黑客 攻击 。 包 过 滤 防 火 墙 的 工作 基于 一 个 前 提 , 就 是 网 管 知道 哪些 IP 是 
可 信和 网 络 , 哪 些 TP 是 不 可 信和 网 络 。 但 是 随 着 远程 办 公 等 新 应 用 的 出 现 ,网 管 不 可 能 区 分 出 
可 信和 网 络 与 不 可 信和 网 络 。 对 于 黑客 来 说 ,只 需 将 源 IP 包 改 成 合法 IP, 即 可 轻松 通过 包 过 渡 
防火 墙 进入 内 网 ,而 任何 一 个 初级 水 平 的 黑客 都 能 进行 IP 地 址 欺骗 。 

(2) 不 支持 应 用 层 协 议 。 假 如 内 网 用 户 提出 这 样 一 个 需求 ,只 允许 内 网 员工 下 载 外 网 
网 页 中 的 Office 文档 ,不 允许 下 载 EXE 格式 的 文件 。 此 时 , 包 过 滤 防 火 墙 便 无 能 为 力 了 , 因 
为 它 不 认识 数据 包 中 的 应 用 层 协 议 , 访 问 控 制 粒 度 太 粗糙 。 


G) 不 能 处 理 新 的 安全 威胁 。 它 不 能 跟踪 TCP 状态 ,所 以 对 TCP 层 的 控制 有 漏洞 。 
当 它 配置 了 仅 允 许 从 内 到 外 的 TCP 访问 时 ,一 些 以 TCP 应 答 包 的 形式 从 外 部 对 内 网 进行 
的 攻击 仍 可 以 穿 透 防火 墙 。 

综 上 可 见 , 包 过 滤 防 火 墙 技术 面 太 过 初级 ,就 好 比 一 位 保安 只 能 根据 访客 来 自 哪 个 省 市 
来 判断 是 否 人 允许 他 进入 一 样 ,难以 履行 保护 内 网 安全 的 职责 。 

2. 应 用 网 关 型 防火 墙 

应 用 网 关 型 防火 墙 彻 底 隔 断 内 网 与 外 网 的 直接 通信 ,内 网 用 户 对 外 网 的 访问 变 成 防火 
墙 对 外 网 的 访问 ,然后 由 防火 墙 转发 给 内 网 用 户 。 所 有 通信 都 必须 经 应 用 层 代 理 软件 转发 ， 
访问 者 在 任何 时 候 都 不 能 与 服务 器 建立 直接 的 TCP 连接 ,应 用 层 的 协议 会 话 过 程 必须 符合 
代理 的 安全 策略 要 求 。 

应 用 网 关 型 防火 墙 的 优点 是 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ,对 数据 包 的 
检测 能 力 比较 强 。 

缺点 也 非常 突出 ,主要 如 下 : 

CD 难于 配置 。 由 于 每 个 应 用 都 要 求 单独 的 代理 进程 ,这 就 要 求 网 管 能 了 解 每 项 应 用 
协议 的 弱点 ,并 能 合理 地 配置 安全 策略 。 由 于 配置 烦琐 ,难于 理解 ,容易 出 现 配置 失误 ,最 终 
影响 内 网 的 安全 防范 能 力 。 

(2) 处 理 速度 非常 慢 。 断 掉 所 有 的 连接 ,由 防火 墙 重 新 建立 连接 ,理论 上 可 以 使 应 用 网 
关 型 防火 墙 具 有 极 高 的 安全 性 ,但 是 实际 应 用 中 并 不 可 行 。 因 为 对 于 内 网 的 每 个 Web 访问 
请 求 , 应 用 代理 都 需要 开 一 个 单独 的 代理 进程 , 它 要 保护 内 网 的 Web 服务 器 数据库 服务 
器 文件 服务 器 、 邮 件 服务 器 、 业 务 程序 等 ,从 而 需要 建立 一 个 个 的 服务 代理 ,以 处 理 客 户 端的 
访问 请 求 。 这 样 ,应 用 代理 的 处 理 延迟 会 很 大 ,内 网 用 户 的 正常 Web 访问 不 能 及 时 得 到 响应 。 

总 之 ,应 用 网 关 型 防火 墙 不 能 支持 大 规模 的 并 发 连接 ,在 对 速度 敏感 的 行业 使 用 这 类 防 
火 墙 简直 是 灾难 。 另 外 ,防火 墙 核心 要 求 预先 内 置 一 些 已 知 应 用 程序 的 代理 ,使 得 一 些 新 出 
现 的 应 用 在 代理 防火 墙 内 被 阻 断 ,不 能 很 好 地 支持 新 应 用 。 

在 IT 领域 中 ,新 应 用 、 新 技术 、 新 协议 层出不穷 ,代理 防火 墙 很 难 适 应 这 种 局 面 。 因 
此 ,在 一 些 重要 的 领域 和 行业 的 核心 业务 应 用 中 ,代理 防火 墙 正 逐 渐 被 疏远 。 

但 是 , 自 适应 代理 技术 的 出 现 让 应 用 防火 墙 技术 出 现 了 新 的 转机 , 它 结合 了 代理 防火 墙 
的 安全 性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 不 破坏 安全 性 的 基础 上 将 代理 防火 墙 的 性 能 
提高 了 。 

3. 状态 检测 防火 墙 

Internet. 上 传输 的 数据 都 必须 遵循 TCP/IP 协议 。 根 据 TCP 协议 ,每 个 可 靠 连接 的 建 
立 需 要 经 过 “客户 端 同步 请 求 ”"“ 服 务 器 应 答 ”“ 客 户 端 再 应 答 ”3 个 阶段 。 人 们 最 常用 到 的 
Web 浏览 文件 下 载 ,收发 邮件 等 都 要 经 过 这 3 个 阶段 。 这 反映 出 数据 包 并 不 是 独立 的 ,而 
是 前 后 之 间 有 着 密切 的 状态 联系 。 基 于 这 种 状态 变化 ,引出 了 状态 检测 技术 。 

状态 检测 防火 墙 据 弃 了 包 过 滤 防 火 墙 仅 考查 数据 包 的 TP 地 址 等 参数 ,而 不 关心 数据 包 
连接 状态 变化 的 缺点 ,在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 并 将 进出 网 络 的 数据 当成 一 个 
个 的 会 话 , 利 用 状态 表 跟踪 每 一 个 会 话 状 态 。 状 态 检 测 不 仅 根 据 规则 表 , 而 且 考 虑 了 数据 包 
是 否 符 合 会 话 所 处 的 状态 ,因此 提供 了 完整 的 对 传输 层 的 控制 能 力 。 

应 用 网 关 型 防火 墙 的 一 个 挑战 就 是 处 理 的 流量 ,状态 检测 技术 在 大 为 提高 安全 防范 能 
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力 的 同时 也 改进 了 流量 处 理 速度 。 状 态 检测 技术 采用 了 一 系列 优化 技术 ,使 防火 墙 性 能 大 
幅度 提升 ,从 而 能 应 用 在 各 类 网 络 环境 中 ,尤其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 

任何 一 款 高 性 能 的 防火 墙 ,都 会 采用 状态 检测 技术 。 

从 2000 年 开始 ,国内 外 的 著名 防火 墙 公司 ,如 Jniper 公司 、Cisco 公司 .北京 天 融 信 公司 
等 ,都 开始 采用 这 一 最 新 的 体系 架构 。 在 此 基础 上 ,天 融 信 NGFW4000 创新 推出 了 核 检测 
技术 ,在 操作 系统 内 核 模拟 出 典型 的 应 用 层 协议 ,在 内 核实 现 对 应 用 层 协议 的 过 滤 ,在 实现 
安全 目标 的 同时 可 以 得 到 极 高 的 性 能 。 支 持 的 协议 有 HTTP.FTP.SMTP,POP3, MMS, 
H.232 5, 


4.1.3. 防火 墙 的 功能 


防火 墙 技 术 是 网 络 安全 策略 的 重要 组 成 部 分 , 它 通 过 控制 .检测 网 络 之 间 的 信息 交换 和 
访问 行为 来 实现 对 网 络 的 安全 管理 。 从 总 体 上 看 ,防火墙 应 具有 以 下 五 大 基本 功能 : 

CD 过 滤 进 出 网 络 的 数据 包 。 

(2) 管理 进出 网 络 的 访问 行为 。 

(3) 封 堵 某 些 禁 止 的 访问 行为 。 

(4) 记录 通过 防火 墙 的 信息 内 容 和 活动 。 

(5) 对 网 络 攻击 进行 检测 和 告警 。 


4.1.4 防火 墙 的 局 限 性 


防火 墙 不 是 解决 所 有 网 络 安全 问题 的 万 能 药 , 只 是 网 络 安全 政策 和 策略 中 的 一 个 组 成 
部 分 。 防 火 墙 有 以 下 三 个 方面 的 局 限 : 

(1) 防火 墙 不 能 防范 绕 过 防火 墙 的 攻击 。 

(2) 防火 墙 不 能 防范 来 自 内 部 人 员 的 恶意 攻击 。 

(3) 防火 墙 不 能 阻止 被 病毒 感染 的 程序 或 文件 的 传递 。 


4.2 包 过 滤 防 火 墙 Netfilter/Iptables 


4.2.1 Netfilter/Iptables 工作 原理 


在 Linux 环境 中 ,Netfilter/Iptables 应 用 程序 被 认为 是 Linux 中 实现 包 过 滤 功 能 的 第 
四 代 应 用 程序 。Netfilter/Iptables 包含 在 2. 4 版 以 后 的 内 核 中 ,可 以 实现 防火 墙 NAT( 网 
络 地 址 转换 ) 和 数据 包 的 分 割 等 功能 。 

Netfilter 工作 在 内 核 内 部 ,Iptables 则 是 让 用 户 定义 规则 集 的 表 结 构 。Netfilter 由 3 个 
表 组 成 ,分 别 为 Filter.NAT、Mangle。 这 也 是 Netfilter 目前 所 提供 的 三 大 功能 ,Filter 表 是 
Netfilter 的 最 重要 的 表 , 其 功能 是 进行 数据 包 过 滤 ,也 就 是 所 谓 的 防火 墙 功能 ; NAT 表 是 
进行 网 络 地 址 转换 的 ,让 内 部 用 户 上 网 与 发 布 内 部 服务 器 需要 用 这 个 表 ; Mangle 表 的 功能 
是 修改 经 过 防火 墙 的 数据 包 内 容 。 每 个 表 都 由 不 同 的 链 组 成 。Filter 表 由 INPUT, 
FORWARD 与 OUTPUT 这 3 个 链 组 成 ,每 一 个 链 都 有 不 同 的 作用 。INPUT 链 是 指 网 络 
上 其 他 主机 送 给 本 机 进程 的 数据 包 ; FORWARD 是 指 经 过 防火 墙 的 流量 ; OUTPUT 是 指 


本 机 进程 送 往 网 络 内 其 他 主机 的 流量 。 规 则 就 写 到 链 里 面 ,每 一 个 链 都 由 若干 规则 与 最 后 
一 条 默认 策略 组 成 ,那么 ,规划 又 是 如 何 来 匹配 这 些 数据 包 的 呢 ? 下 面 以 INPUT 链 为 例 ， 
讲解 数据 包 是 如 何 被 匹配 的 。 在 防火 墙 上 添加 新 的 规则 时 ,这 些 规则 是 依 “先后 顺序 ”一 条 
一 条 地 被 加 入 到 INPUT 链 里 的 ,因此 ,第 一 个 被 加 进来 的 规则 就 会 存放 在 INPUT 链 内 的 
第 一 条 规则 中 , 即 rule 1, 最 后 被 加 进来 的 规则 ,当然 就 是 INPUT 链 中 的 最 后 一 条 规则 。 当 
第 一 个 数据 包 进 入 INPUT 链 后 ,Filter 表 就 会 以 这 个 数据 包 的 特征 依照 INPUT 链 中 的 规 
则 从 第 一 条 逐一 地 向 下 匹配 。 假 如 数据 包 被 第 一 条 规则 匹配 到 ,那么 该 数据 包 的 行为 就 由 
第 一 条 规则 来 决定 ,如 果 第 一 条 规则 设置 的 是 丢弃 该 数据 包 , 那 么 此 数据 包 就 会 被 丢弃 ,不 
管 下 面 的 规则 有 多 重要 。 相 反 , 如 果 第 一 条 规则 接受 该 数据 包 , 那 么 该 数据 包 将 会 被 送 往 本 
机 进程 ,当然 就 不 管 下 面 的 规则 了 ,这 就 是 所 谓 的 优先 匹配 。 如 果 数 据 包 在 INPUT 链 中 从 
第 一 条 规则 对 比 到 最 后 一 条 规则 都 没有 匹配 成 功 ,最 后 匹配 的 就 是 默认 策略 ,默认 策略 永远 
都 是 在 最 后 面 匹配 的 ,而 且 只 有 一 种 状态 ,要 么 是 ACCEPT, 要 么 是 DROP。 如 果 是 ACCEPT, 
那么 数据 包 将 会 被 送 往 本 机 进程 ; 如 果 是 DROP., 那 么 数据 包 将 会 被 丢弃 ,默认 策略 的 默认 
状态 是 ACCEPT。 
数据 在 Iptables 中 的 流动 如 图 4. 3 所 示 ,分 为 以 下 3 种 情况 。 


Network 
Mangle:PREROUTING | 
NAT:PREROUTING 
Mangle:INPUT EU om Mangle: FORWARD 
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图 4.3 Iptables 流程 图 
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1. 以 本 地 机 器 为 目标 的 数据 包 在 Iptables 内 的 流动 和 被 处 理 的 步骤 
(1) 进入 本 地 接口 。 

(2) 进入 Mangle 表 的 PREROUTING ££, 

G) 进入 NAT 表 的 PREROUTING ££, 

(4) 查找 路 由 表 , 识 别 此 数据 包 是 送 给 本 机 进程 的 。 

(5) 进入 Manlge 表 的 INPUT 表 。 

(6) 进入 Filter 表 的 INPUT 链 。 

(7) 送 往 本 机 进程 。 

2. 以 目标 地 址 为 另 一 个 网 络 的 数据 包 在 Iptables 内 的 流动 和 被 处 理 的 步 又 
(1) 进入 本 地 接口 。 

(2) 进入 Mangle 表 的 PREROUTING 链 。 

(3) 进入 NAT 表 的 PREROUTING ££, 

(4) 查找 路 由 表 , 识 别 此 数据 包 是 发 往 其 他 网 段 的 。 

(5) 进入 Mangle Xf) FORWARD ££ , 

(6) 进入 Filter 表 的 FORWARD 链 。 

(7) 进入 Mangle 表 的 POSTROUTING 链 。 

(8) 进入 NAT 表 的 POSTROUTING 链 。 

O) 离开 接口 , 送 往 另 一 网 络 。 

3. 本 机 进程 产生 的 数据 包 发 送 给 男 一 台 PC 的 流动 和 被 处 理 的 步 又 
CD 本 机 进程 产生 数据 包 。 

(2) 查找 路 由 表 , 识 别 此 数据 包 通过 哪个 网 卡 送 往 另 一 台 PC. 

(3) 进入 Mangle 表 的 OUTPUT $ë. 

(4) 进入 NAT 表 的 OUTPUT 链 。 

(5) 进入 Filter 表 的 OUTPUT 表 。 

(6) 进入 Mangle 表 的 POSTROUTING 链 。 

(7) 进入 NAT 表 的 POSTROUTING 链 。 

(8) 离开 接口 , 送 往 另 一 台 PC. 


4.2.2 [Iptables 语法 
要 很 好 地 运用 Iptables ,必须 把 Iptables 的 规则 写 好 ,书写 规则 的 基本 语法 结构 如 下 : 
iptables [ - t RA] 选项 [ 链 名 ] [ARTE] [ -j 控制 类 型 ] 


1. 表 名 

Iptables 中 共有 三 类 表 , 分 别 是 Mangle, NA T 和 Filter。 每 个 表 都 包含 相应 的 链 ,也 包 
含 用 户 定 义 的 链 。 每 个 链 都 是 一 个 规则 列表 ,可 对 对 应 的 包 进 行 匹配 , 即 每 条 规则 都 指定 了 
如 何 处 理 与 之 相 匹配 的 包 。 如 果 未 指定 , 则 Filter 表 作为 默认 表 。 

CD Mangle 表 。 如 果 数 据 包 及 其 数据 包头 部 进行 了 任何 更 改 , 比 如 TTL, TOS 或 
MARK, 则 使 用 该 表 。 注 意 ,:Mangle 表 不 能 进行 任何 NAT( 网 络 地 址 转换 ), 即 不 能 改变 数 
据 包 中 的 源 IP 地 址 与 目标 IP 地 址 ,而 修改 IP 地 址 则 是 在 nat 表 中 操作 的 。 


(2) Filter €, Filter 表 是 专门 过 滤 包 的 ,内 建 3 个 链 , 可 以 毫 无 问题 地 对 包 进 行 
DROP、LOG、ACCEPT 和 REJECT 等 操作 。FORWARD 链 过 滤 所 有 不 是 本 地 产生 的 并 且 
目的 地 不 是 本 地 (所 谓 本 地 就 是 防火 墙 ) 的 包 ,而 INPUT 恰恰 针对 那些 目的 地 是 本 地 的 包 。 
OUTPUT 是 用 来 过 滤 所 有 本 地 生成 的 包 的 。 如 果 无 特别 指定 ,此 表 为 默认 表 。 

(3) NAT X, NAT 表 的 主要 作用 是 网 络 地 址 转换 , 即 Network Address Translation. 
缩写 为 NAT。 进 行 过 网 络 地 址 转换 操作 的 数据 包 的 地 址 就 改变 了 ,当然 这 种 改变 是 根据 规 
则 进行 的 。 属 于 一 个 流 的 包 只 会 经 过 这 个 表 一 次 。 如 果 第 一 个 包 被 允许 做 网 络 地 址 转换 ， 
那么 余下 的 包 都 会 自动 地 被 做 相同 的 操作 。 也 就 是 说 ,余下 的 包 不 会 再 通过 这 个 表 一 个 一 
个 地 进行 网 络 地 址 转换 ,而 是 自动 地 完成 。PREROUTING 链 的 作用 是 在 包 刚刚 到 达 防 火 
墙 时 改变 它 的 目的 地 址 ,在 4. 2. 5 小 节 有 详细 的 讲解 。OUTPUT 链 可 改变 本 地 产生 的 包 
的 目的 地 址 。POSTROUTING 链 在 包 就 要 离开 防火 墙 之 前 改变 其 源 地 址 ,在 4. 2.4 小 节 
有 详细 的 讲解 。 

2. 链 名 

Iptables 把 IP 过 滤 规 则 写 到 链 中 ,IP 报 文 遍历 规则 链接 受 处 理 , 还 可 以 送 到 另外 的 链 
接受 处 理 , 或 最 后 由 默认 策略 (ACCEPT、DROP、REJECT) 处 理 。 因 此 ,可 以 把 链 理解 为 IP 
过 滤 规 则 的 集合 。 

下 面 介绍 Iptables 各 个 链 中 的 操作 。 

如 前 所 述 , 链 是 IP 过 滤 规 则 的 集合 。 需 要 对 链 进 行 操作 时 ,例如 增加 一 条 规则 或 删除 
一 条 规则 ,都 需要 用 命令 (command) 完 成 。 命 令 (command) 指 定 Iptables 对 所 提交 规则 的 
操作 。 这 些 操作 可 能 是 在 某 个 表 中 增加 或 删除 一 些 东 西 , 还 可 能 是 其 他 操作 ,具体 的 操作 
如 下 。 

CD -A: 在 所 选择 的 链 末 添加 规则 。 当 源 地 址 或 目的 地 址 是 以 名 称 而 不 是 以 IP 地 址 
的 形式 出 现时 , 若 这 些 名 称 可 以 被 解析 为 多 个 地 址 , 则 这 条 规则 会 和 所 有 可 用 的 地 址 结合 。 

(2) -D: 从 所 选 链 中 删除 规则 。 有 两 种 方法 指定 要 删除 的 规则 : 一 是 把 规则 完 完整 整 
地 写 出 来 ,再 就 是 指定 规则 在 所 选 链 中 的 序号 (每 条 链 的 规则 都 从 1 开始 编号 ) 。 

(3) -R: 在 所 选中 的 链 中 指定 的 行 上 (每 条 链 的 规则 都 从 1 开始 编号 ) 蔡 换 规则 。 它 主 
要 的 作用 是 试验 不 同 的 规则 。 当 源 地 址 或 目的 地 址 是 以 名 称 而 不 是 以 IP 地 址 的 形式 出 现 
时 , 若 这 些 名 称 可 以 被 解析 为 多 个 地 址 , 则 这 条 命令 会 失败 。 

(4) -I: 根据 给 出 的 规则 序号 向 所 选 链 中 插入 规则 。 如 果 序 号 为 1, 则 规则 会 被 插入 链 
的 头 部 。 其 实 ,默认 序号 就 是 1 。 

(5) -L: 显示 所 选 链 的 所 有 规则 。 如 果 没 有 指定 链 , 则 显示 指定 表 中 的 所 有 链 。 如 果 
什么 都 没有 指定 ,就 显示 默认 表 的 所 有 链 。 精 确 输出 受 其 他 参数 影响 ,如 -n 和 -v 等 参数 。 

(6) -F: 清空 所 选 的 链 。 如 果 没 有 指定 链 , 则 清空 指定 表 中 的 所 有 链 。 如 果 什 么 都 没 
有 指定 ,就 清空 默认 表 的 所 有 链 。 当 然 , 也 可 以 一 条 一 条 地 删除 ,但 用 这 个 命令 会 快 些 。 

CD -Z: 把 指定 链 ( 如 未 指定 , 则 认为 是 所 有 和 链 ) 的 所 有 计数 器 归 零 。 

(8) -X: 删除 指定 的 用 户 自 定义 链 。 这 个 链 必须 没有 被 引用 ,如 果 被 引用 ,在 删除 之 前 
必须 删除 或 者 替换 与 之 有 关 的 规则 。 如 果 没 有 给 出 参数 ,这 条 命令 将 会 删除 默认 表 中 所 有 
非 内 建 的 链 。 

(9) -P: 为 链 设置 默认 的 策略 (DROP 或 ACCEPT) 。 所 有 不 符合 规则 的 包 都 会 被 强制 


BKK 


LEES 


BHRERAGK5ExX 


使 用 这 个 策略 。 

(10) -N: 根据 用 户 指定 的 名 称 建立 新 的 链 。 

3. 条 件 

包 过 滤 防 火 墙 主要 针对 5 项 信息 过 行 过 滤 ,5 项 信息 就 是 在 条 件 中 给 出 来 的 ,包括 协 
WW IP 地 址 .目标 IP 地 址 、 源 端口 .目标 端口 。 当 然 , 这 里 的 条 件 还 会 更 多 ,比如 进入 的 接 
口 ICMP 协议 类 型 数据 连接 的 状态 等 。 

CD -p: 匹配 指定 的 协议 ,如 UDP、TCP、ICMP 等 。 

(2) -s: 可 以 是 IP.NET、DOMAIN, 也 可 为 空 (任何 地 址 )。 

例如 : 

-s 192.168.0.1 表示 匹配 来 自 192.168.0.1 的 数据 包 。 

-s 192. 168. 1. 0/24 表示 匹配 来 自 192.168. 1.0/24 网 络 的 数据 包 。 

-s 192.168.0.0/16 表示 匹配 来 自 192. 168. 0. 0/16 网 络 的 数据 包 。 

(3) -d: 以 IP 目 的 地 址 匹配 包 。 地 址 的 形式 与 -s 完全 一 样 。 

(4) --sport: 以 源 端 口 进行 匹配 ,可 以 是 个 别 端口 ,可 以 是 端口 范围 。 

例如 : 

--sport 1000 表示 匹配 源 端 口 是 1000 的 数据 包 。 

--sport 1000:3000 表示 匹配 源 端 口 为 1000 一 3000 的 数据 包 ( 含 1000、3000)。 

--sport :3000 表示 匹配 源 端口 是 3000 以 下 的 数据 包 ( 含 3000) 。 

--sport 1000: 表 示 匹 配 源 端口 是 1000 以 上 的 数据 包 ( 含 1000) 。 

(5) --dport: 以 目的 端口 进行 匹配 ,端口 表达 形式 与 --sport 一 样 。 

4. 控制 类 型 

(D ACCEPT: 允许 通过 。 

(2) DROP: 拒绝 通过 。 

(3) REJECT: 工作 方式 与 DROP 相同 ,不同 的 是 ,REJECT 会 将 错误 的 消息 回 送 给 发 
送 方 。 

(4) SNAT: 源 地 址 转换 ,可 使 内 网 用 户 共享 一 个 公有 IP 地 址 访问 互联 网 。 

©) DNAT: 目标 地 址 转换 ,主要 用 于 发 布 内 网 的 服务 器 。 

使 用 iptables 命令 建立 的 规则 临时 保存 在 内 存 中 ,重新 引导 系统 时 将 丢失 这 些 规则 , 因 
此 ,如 果 将 没有 错误 的 且 有 效 的 规则 集 保存 下 来 ,也 就 是 希望 在 重新 引导 后 青 次 使 用 这 些 规 
则 ,就 必须 将 这 些 规 则 集 保存 在 文件 中 ,命令 为 service iptables save。 


4.2.3 Iptables 实例 


3i 课业 任务 4-1 

WYL 公司 使 用 RHEL6 操作 系统 作为 公司 的 Web 服务 器 ,为 了 保护 Web 服务 器 的 安 
全 ,使 用 包 过 滤 防 火 墙 Netfilter/Iptables 对 其 进行 保护 ,并 达到 以 下 要 求 : 

(1) 把 防火 墙 的 策略 设置 成 没有 被 允许 ,就 全 部 被 拒绝 。 

(2) 用 户 只 能 访问 Web 服务 器 。 

(3) 只 允许 管理 员 对 其 进行 远程 管理 。 

WYL 公司 的 局 域 网 网 段 地 址 为 192. 168. 1. 0/24, Web 服务 器 的 IP 地址 为 192. 168. 1. 80/24, 


管理 员 的 IP 地 址 为 192. 168.1. 100/24。 具 体操 作 步 骤 如 下 : 
(1) 配置 Web 服务 器 IP 地 址 。 


root@localhost ~] # ifconfig eth0 192.168.1.80 
(2) 对 防火 墙 进行 基本 配置 。 


root@ localhost ~] # iptables -F 

root@localhost ~] # iptables - P INPUT DROP 

root(Zlocalhost ~] # iptables — P OUTPUT DROP 

root()localhost ~] # iptables -t — A INPUT — p tcp - s 192.168.1.0/24 -d 192.168.1.80 -- 

dport 80 - j ACCEPT 

root(2localhost ~] # iptables - t- A OUTPUT — p tcp — s 192.168.1.80 -- sport 80 - j ACCEPT 

root()localhost ~] # iptables -t — A INPUT -p tcp -s 192.168.1.100 -d 192.168.1.80 -- 

dport 22 - j ACCEPT 

root@ localhost ~] # iptables -t - A OUTPUT - p tcp — s 192.168.1.80 —- sport 22 - j ACCEPT 

(3) 测试 。 

。 在 局 域 网 中 的 任何 计算 机 上 打开 IE 浏览 器 ,查看 是 否 可 以 访问 Web 服务 器 。 如 果 
能 够 访问 ,就 说 明 规则 设置 成 功 了 。 

。 在 局 域 网 中 的 任何 计算 机 上 用 SSH 查看 是 否 可 以 远程 管理 Web 服务 器 。 如 果 只 
有 管理 员 可 以 访问 ,说 明 实验 成 功 了 。 

(4) 查看 并 保存 配置 。 


[root(2localhost ~] # ipables -L 
[root@ localhost ~] # service iptables save 


4.2.4 使 用 防火 墙 让 内 网 用 户 上 网 


互联 网 使 用 公有 TP 地 址 ,企业 内 网 使 用 私有 TP 地 址 , 当 企业 内 网 中 的 PC 去 访问 互联 
网 服务 时 ,是 可 以 正常 把 请 求 送出 去 的 ,但 是 如 果 互 联网 上 的 某 台 主机 响应 此 请 求 ,目标 主 
机 就 变 成 了 内 网 PC 的 IP 地 址 ,互联 网 是 没有 到 达 内 部 局 域 网 的 路 由 ,因此 ,就 不 知道 该 把 
数据 包 送 往 哪 里 去 。 

针对 以 上 情况 ,解决 的 办 法 是 在 企业 内 部 PC 发 出 请 求 时 ,在 网 络 的 边界 ,也 就 是 防火 
墙 的 出 口 ,把 企业 私有 TP 地 址 转换 成 防火 墙 的 出 口 公有 IP 地 址 。 这 样 ,互联 网 上 的 某 台 
机 响应 请 求 时 ,目标 主机 就 变 成 了 防火 墙 的 出 口 TP 地 址 了 , 当 响 应 的 数据 包 到 达 防 火 墙 的 
出 口 时 ,再 经 过 防火 墙 的 地 址 转换 ,把 其 转变 为 企业 内 网 的 某 台 PC 的 IP 地 址 ,这 样 就 能 正 
常 地 访问 互联 网 了 。 

把 内 部 网 络 PC 的 IP 地 址 转变 成 公有 IP 地 址 ,这 种 转换 在 Netfilter/Iptables 中 称 为 
SNAT, 即 源 地 址 转换 。 而 源 地 址 转换 一 般 做 在 Iptables 的 NAT ÁY POSTROUTING $ 
里 面 。 

3h 课业 任务 4-2 

WYL 公司 在 设计 公司 局 域 网 时 ,规划 了 一 台 Netfilter/Iptables 防火 墙 , 防 火 墙 的 ethl 
接口 连接 内 部 网 络 ,eth0 接口 连接 外 部 网 络 , 现 在 的 需求 是 ,使 用 防火 墙 使 内 网 所 有 用 户 都 
共享 一 个 出 口 IP 地 址 访问 互联 网 。WYL 公司 的 网 络 拓扑 如 图 4.4 所 示 。 
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4.4 WYL 公司 的 网 络 拓扑 


具体 实现 步骤 如 下 : 

(1) IP 地 址 规划 。 

PCI 与 PC2: 需要 配置 IP 地 址 、 掩 码 、 网 关 。 

eth0( 外 口 ): 需要 配置 IP 地 址 与 掩 码 。eth1( 内 口 ): 需要 配置 IP 地 址 与 掩 码 。 

Web Server; 需要 配置 IP 地 址 与 掩 码 。 

(2) 防火 墙 配置 。 

[root@1localhost ~] # echo "1" »/proc/sys/net/ipv4/ip forward 

[root(2localhost ~] # iptables — t nat — A POSTROUTING — s 192.168.0.0/24 —j SNAT —— to 1.0.0.1 

(3) 测试 。 

在 客户 机 PCI 或 PC2 上 打开 TE 浏览 器 ,在 地 址 栏 中 输入 Web 服务 器 的 IP 地 址 ,查看 
是 否 能 访问 互联 网 上 的 网 页 。 如 果 能 访问 到 Web 服务 器 ,就 说 明 配 置 成 功 了 。 

(4) 查看 并 保存 配置 。 


[root(2localhost ~] # ipables -L -t nat 
[root@ localhost ~] # service iptables save 


4.2.5 使 用 防火 墙 发 布 内 网 服务 器 


众所周知 ,企业 内 部 服务 器 用 的 是 私有 IP 地 址 ,而 互联 网 上 的 用 户 使 用 的 是 公有 IP 地 
址 ,这 样 ,互联 网 上 的 用 户 是 不 能 直接 访问 企业 内 部 的 服务 器 的 ,互联 网 上 的 用 户 只 能 访问 
到 企业 的 边界 ,也 就 是 防火 墙 的 出 口 。 

针对 以 上 情况 ,解决 的 办 法 是 在 防火 墙 上 进行 网 络 地 址 转换 。 当 互联 网 上 的 用 户 访问 
内 部 服务 器 时 ,首先 访问 企业 出 口 IP 地 址 ,然后 防火 墙根 据 网 络 地 址 转换 表 , 把 这 样 的 请 求 
数据 包 的 目标 IP 地 址 转换 成 企业 内 部 服务 器 的 私有 IP 地 址 ,这样 ,请 求 就 可 以 到 达 企业 内 
部 的 服务 器 了 。 

把 目标 地 址 是 出 口 的 公有 IP 地 址 转换 成 企业 内 私有 IP 地 址 称 为 DNAT, 即 目标 地 址 
转换 。 而 目的 地 址 转换 一 般 做 在 Iptables 的 NAT 表 的 PREROUTING 链 里 面 。 

3 课业 任务 4-3 

WYL 公司 在 设计 公司 内 部 Web 服务 器 时 ,规划 了 一 台 Netfilter/Iptables 防火 墙 , 防 
火 墙 的 ethl 接口 连接 内 部 网 络 ,eth0 接口 连接 外 部 网 络 ,现在 的 需求 是 ,使 用 防火 墙 使 内 网 
的 Web 服务 器 通过 防火 墙 发 布 至 互联 网 。WYL 公司 的 网 络 拓扑 如 图 4.5 所 示 。 
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4.5 WYL 公司 的 网 络 拓扑 


具体 实现 步骤 如 下 : 

(1) IP 地 址 规划 。 

PC1: 需要 配置 IP 地 址 、 掩 码 、 网 关 。 

Web Server; 需要 配置 IP 地 址 、 掩 码 、 网 关 。 

PC2: 需要 配置 IP 地 址 、 掩 码 。 

eth0( 外 口 ): 需要 配置 IP 地 址 与 掩 码 。 

ethl( 内 口 ) : 需要 配置 IP 地 址 与 掩 码 。 

(2) 防火 墙 配置 。 

[root@1localhost ~] # echo "1" »/proc/sy/net/ipv4/ip forward 

[root(2localhost ~] # iptables -t nat — A PREROUTING -d 1.0.0.1 -p tcp --dport 80 - j DNAT -- 

to 192.168.0.1 

(3) 测试 。 

在 PC2 上 打开 IE 浏览 器 ,在 地 址 栏 中 输入 “http://1. 0. 0. 1” ,查看 是 否 能 正常 访问 到 
公司 内 部 网 站 。 如 果 能 访问 到 ,就 说 明 配 置 是 成 功 的 。 

(4) 查看 并 保存 配置 。 


[root@localhost ~] # iptables -L -t nat 
[root@ localhost ~] # service iptables save 


4.3 应 用 网 关 型 防火 墙 


4.3.1 应 用 网 关 型 防火 墙 工 作 原 理 


应 用 网 关 型 防火 墙 工作 在 OSI 的 最 高 层 , 即 应 用 层 。 本 节 主 要 讲解 第 一 代 应 用 网 关 型 
防火 墙 , 即 通过 代理 (Proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 
过 这 样 的 防火 墙 后 ,就 好 像 是 源 于 防火 墙 的 外 部 网 卡 一 样 ,从 而 达到 隐藏 内 部 网 结构 的 作 
用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 它 的 核心 就 是 代 
理 服 务 器 技术 。 

代理 服务 是 一 类 应 用 广泛 的 网 络 服务 ,传统 的 著名 代理 服务 软件 有 Sygate 和 Wingate 
等 。Microsoft 推荐 的 代理 服务 软件 是 其 自己 的 产品 , 即 ISA 系列 ; 而 在 Linux 下 ,使 用 
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Squid 实现 代理 服务 功能 。 本 节 将 向 读者 介绍 Squid 代理 服务 软件 的 安装 、 配 置 . 管 理 及 
应 用 。 

代理 服务 器 的 工作 流程 分 两 种 情况 ,第 一 种 是 在 有 Cache 的 情况 ,第 二 种 是 没有 Cache 
的 情况 ,如 图 4.6 所 示 。 


Web Server 


Clientl Client2 
图 4.6 代理 服务 器 的 工作 流程 


1. 要 访问 的 资源 存放 在 Cache 时 的 工作 原理 

CD 如 图 4. 6 中 的 (6) ,客户 端 向 代理 服务 器 端 发 送 一 个 请 求 数据 包 ,代理 服务 器 端 接 
收 到 请 求 数 据 包 后 , 先 查 看 这 个 数据 包 是 否 在 访问 控制 列表 中 是 被 允许 的 。 如 果 不 允 许 , 此 
数据 包 将 会 被 丢弃 ; 如 果 人 允许 ,代理 服务 器 就 会 开始 代替 客户 机 去 访问 资源 。 

(2) 如 图 4.6 中 的 (4) ,代理 服务 器 检查 自己 的 Cache, 如 果 有 客户 机 所 需要 的 资源 , 则 
会 直接 将 资源 取出 ,而 不 经 过 互联 网 。 

(3) 如 图 4.6 中 的 (7) ,最 后 将 资源 传 到 客户 机 上 。 

2. 要 访问 的 资源 没有 存放 在 Cache 时 的 工作 原理 

CD 如 图 4.6 中 的 (1) ,客户 端 向 代理 服务 器 端 发 送 一 个 请 求 数据 包 , 代 理 服务 器 端 接 
收 到 请 求 数据 包 后 , 先 查 看 这 个 数据 包 是 否 在 访问 控制 列表 中 是 被 允许 的 。 如 果 不 允许 ,此 
数据 包 将 会 被 丢弃 ; 如 果 人 允许 ,代理 服务 器 就 会 开始 代替 客户 机 去 取得 资源 。 

(2) 如 图 4.6 中 的 (2) ,代理 服务 器 端 发 现 Cache 并 没有 客户 端 所 需要 的 资源 ,就 准备 
把 请 求 数据 包 发 往 互 联网 ; 代理 服务 器 端 开始 发 送 请 求 数据 包 给 互联 网 上 的 目标 主机 去 取 
得 相关 资源 。 

(3) 如 图 4.6 中 的 (3)、(5) ,最 后 代理 服务 器 将 取 回 的 资料 响应 给 客户 机 。 

(4) 如 图 4.6 中 的 (4) ,复制 一 份 送 往 Cache。 

代理 服务 器 的 基本 功能 就 是 代理 网 络 用 户 去 取得 网 络 信息 。 在 一 般 情 况 下 ,使 用 浏览 
器 直接 去 连接 Web 站 点 ,以 取得 网 络 信息 。 而 代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 
间 的 一 台 服 务 器 。 有 了 它 ,浏览 器 不 是 直接 到 Web 服务 器 去 取 回 网 页 ,而 是 向 代理 服务 器 
发 出 请 求 , 请 求 信号 会 先 送 到 代理 服务 器 ,由 代理 服务 器 取 回 用 户 所 需要 的 信息 并 传送 给 用 
户 的 浏览 器 。 而 且 , 大 部 分 代理 服务 器 都 具有 缓存 的 功能 ,就 好 像 一 个 大 的 缓存 池 , 它 有 很 
大 的 存储 空间 , 它 不 断 地 将 新 取得 的 数据 存储 到 它 本 机 的 存储 器 上 。 如 果 用 户 的 浏览 器 所 
请 求 的 数据 就 在 它 本 机 的 存储 器 上 而 且 是 最 新 的 ,那么 它 就 不 重新 从 Web 服务 器 取 数 据 ， 
而 直接 将 存储 器 上 的 数据 传送 给 用 户 的 浏览 器 。 一 般 用 户 的 可 用 带宽 都 较 小 ,但 是 通过 带 


宽 较 大 的 代理 服务 器 与 目标 主机 相连 ,能 大 大 提高 浏览 速度 和 效率 。 更 重要 的 是 它 所 提供 
的 安全 功能 ,通过 代理 服务 器 访问 目标 主机 ,可 以 将 用 户 本 身 的 IP 地 址 隐藏 起 来 ,目标 主机 
能 看 到 的 只 是 代理 服务 器 的 IP 地 址 。 很 多 网 络 黑客 就 是 通过 这 种 办 法 隐藏 自己 的 真实 IP 
的 ,从 而 逃 过 监视 ; 大 型 网 站 还 可 以 利用 反 向 代理 大 大 增加 客户 端的 访问 速度 ,如 搜狐 等 很 
多 大 型 门户 网 站 都 是 采用 Squid 作为 其 新 闻 服 务 的 缓存 服务 器 。 另 外 ,代理 服务 同 其 他 软 
件 配 合 起 来 使 用 ,还 可 以 实现 流量 控制 和 计 费 功能 等 。 

如 上 所 述 ,Squid 的 基本 功能 是 缓存 互联 网 数据 , 它 接收 用 户 的 下 载 申请 ,并 自动 处 理 
所 下 载 的 数据 。 当 一 个 用 户 要 访问 一 个 页 面 时 ,向 Squid 发 出 请 求 , 然 后 Squid 连接 所 申请 
的 网 站 并 请 求 该 页 面 ,接着 把 该 页 面 传 给 用 户 , 同 时 保留 一 个 备份 , 当 别 的 用 户 申请 同样 的 
页 面 时 ,Squid 会 把 保存 的 备份 立即 传 给 用 户 ,这 样 用 户 会 感觉 到 访问 速度 很 快 。 

Squid 不 仅仅 只 能 代理 访问 网 页 需要 的 HTTP. 协议 , 它 还 可 以 代理 FTP.GOPHER、 
SSL fü WAIS 协议 。 现 在 它 暂 时 还 不 能 代理 RSTP. MMS, POP, NNTP 等 协议 ,但 随 着 技 
术 人 员 对 Squid 的 不 断 修 改 ,Squid 会 支持 更 多 的 协议 。 

注意 ,Squid 不 是 在 支持 的 协议 下 能 够 缓存 任何 数据 , 像 信 用 卡 账号 、 密 码 , 可 以 远方 执 
行 的 脚本 ,经 常 变换 的 主页 等 ,都 是 不 合适 的 数据 ,也 是 不 安全 的 数据 。 对 于 这 些 数据 ,一 般 
Squid 会 自动 进行 处 理 , 用 户 也 可 以 根据 需要 设置 Squid, 使 之 过 滤 掉 不 想 要 的 东西 。 

Squid 可 以 工作 在 很 多 常用 的 操作 系统 平台 中 ,如 Linux, AIX, FreeBSD, HPUX, 
NetBSD、SCO UNIX, Solaris 及 OS/2 等 。 

Squid 对 硬件 的 要 求 : 一 是 内 存 要 大 ,不 应 小 于 128 MB; 二 是 要 求 硬盘 转速 要 快 ,最 好 
使 用 服务 器 专用 SCSI 硬盘 。 但 其 对 处 理 器 的 要 求 不 高 ,频率 在 400 MHz 以 上 即 可 。 


4.3.2 Squid 的 配置 与 应 用 


3i 课业 任务 4-4 

WYL 公司 需要 通过 配置 代理 服务 器 来 提高 企业 内 部 用 户 访 问 互联 网 的 速度 和 保护 企 
业内 部 用 户 的 安全 。WYL 公司 的 网 络 拓扑 如 图 4.7 所 示 , 企 业内 部 用 户 的 客户 端 均 使 用 
Windows XP 操作 系统 ,其 中 设计 部 位 于 192. 168. 0. 0/24 网 段 ,财务 部 位 于 192. 168. 1. 0/24 
网 段 ,市 场 部 位 于 192. 168. 2.0/24 网 段 ,企业 代理 服务 器 安装 的 是 RHEL6 操作 系统 , 现 要 
求 在 代理 服务 器 上 进行 相关 配置 ,以 达到 以 下 要 求 ， 


[设计 部 


Ls 代理 服务 器 


图 4.7 WYL 公司 的 网 络 拓扑 
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CD 财务 部 不 允许 访问 互联 网 。 

(2) 市 场 部 只 可 以 在 工作 时 间 ( 周 一 至 周 五 的 9:00 一 18:00) 内 访问 互联 网 ,并 且 只 能 下 
载 与 工作 有 关 的 文件 (TXT、DOC、XLS、PPT、PDF)。 

CD 其 他 用 户 没有 上 网 限制 。 

1. 代理 服务 器 的 具体 配置 步 又 

CD 在 代理 服务 器 上 安装 Squid。 首 先 查 询 是 否 安装 好 Squid. 


[root@localhost ~]# rpm -q squid 
squid. 2. 5. STABLE6. 3. 4E. 12 


如 果 没 有 安装 好 Squid. JE YUM 客户 端 配置 好 后 ,再 使 用 下 面 命令 安装 。 
[root(2localhost ~]# yum install squid 
(2) 在 代理 服务 器 上 修改 其 配置 文件 /etc/squid/squid. conf, 内 容 如 下 。 


http port 3128 

cache mem 512 MB 

cache dir ufs /var/spool/squid 512 16 254 
acl finance src 192.168.1.0/255.255.255.0 
acl market src 192.168.2.0/255.255.255.0 
acl all src 0.0.0.0/0.0.0.0 

acl markettime MTWHF 09:00.18:00 
aclmarketfile urlpath regex — i V. txt $ V.doc$ V.xls $ NV. ppt $ V. pdf $ 
http access deny market !marketfile 

http access allow market marktime 

http access deny finance 

http access allow all 

visible hostname 192.168.0.254 

cache mgr hcmaner(2 qq. cn 


(3) 初始 化 Squid。 


[root(2localhost ~]# squid -z 

[root(2 localhost ~] # cd /var/spool/squid 
[root(2localhost squid]# ls 

00 01 02 03 04 05 06 07 08 09 0A 0B OC 0D OE OF 


OD 启动 Squid, 
[root(2localhost squid] # service squid start 
2. 客户 端的 具体 配置 ,以 市 场 部 的 PC 为 例 


COD 通过 双击 打开 I 下 浏览 器 ,选择 [工具 】>【Internet 选 
项 ] 命 令 , 如 图 4. 8 所 示 。 


Windows Update W 

(2) 在 弹出 的 【Internet 属性 了 对 话 框 中 单 击 【 局 域 网 设 快车 FlashGet) 
置 了 按钮 ,如 图 4. 9 所 示 。 Thternet IRO)... 

G) 在 弹出 的 【局域网 (LAN) 设 置 ] 对 话 框 中 的 [地址 ] 文 ”图 4.8 选择 [Internet 选项 】 
本 框 中 输入 客户 机 的 网 关 IP 地 址 ,设置 [端口 ] 为 3128。 例 命令 


如 ,输入 本 任务 中 市 场 部 的 客户 机 的 代理 TP 地 址 为 "192. 168. 2. 254”, 如 图 4. 10 所 示 。 


Internet 属性 


[zn | 安全 [eu |ne E8 BE mm 
A ERR ee mme ese [ BEU 


TRSTUESSRIRHASE 
mmo... 
ü EP CAR) 设置 


自动 配置 
gexeumreon. 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 


i ， 请 选择 “ 设 


口 自动 检测 设置 w 
口 使 用 自动 配置 丢 本 C) 
iti 
代理 服务 器 
RA CADRE 7 = EUSEB. QU 以 些 设置 不 会 应 用 于 所 号 或 
ED : | 

地 址 到 )，|192. 168.2 254 | AO T): |3128 | [高 级 C) 
口 对 于 本 地 地 址 不 使 用 代理 服务 器 O 


图 4.9 单 击 【局 域 网 设置 按钮 图 4.10 设置 代理 服务 器 


完成 以 上 操作 后 ,市 场 部 可 以 在 工作 时 间 ( 周 一 至 周 五 的 9:00 一 18:00) 内 访问 互联 网 ， 
并 且 只 能 下 载 与 工作 有 关 的 文件 (TXT、DOC、XLS、PPT、PDF) ,财务 部 不 允许 访问 互联 网 。 


4.3.3 用 户 认证 


A 课业 任务 4-5 

在 课业 任务 4-4 中 配置 的 代理 服务 器 实现 了 让 内 网 用 户 访问 互联 网 ,屏蔽 内 部 网 络 、 提 
高 内 网 的 安全 性 与 访问 速度 等 功能 。 为 了 实现 更 高 的 安全 性 ,可 以 在 代理 服务 器 上 启用 用 
户 认 证 功能 ,这 样 只 有 合法 的 用 户 才 可 以 通过 验证 访问 互联 网 ,非法 的 用 户 则 通过 不 了 认 
证 ,也 就 无 法 访问 互联 网 。 

用 户 认 证 的 实验 步骤 是 在 课业 任务 4-4 的 基础 上 来 实现 的 ,具体 实现 步骤 如 下 : 

CD 在 课业 任务 4-4 的 基础 上 ,再 在 代理 服务 器 上 修改 其 配置 文件 /etc/squid/squid. 
conf ,内 容 如 下 。 


auth param basic program /usr/lib/squid/ncsa auth /etc/squid/passwd 
auth param basic basic children 5 

auth param basic credentialsttl 2 hours 

auth param basic realm WYL's 

acl mypc src 192.168.100.1/255.255.255.255 

acl auth user proxy auth REQUIRED 

http access allow mypc 

http access allow auth user 


(2) 建立 账号 文件 /etc/squid/passwd, 并 添加 用 户 user01 与 user02 。 


[root(2localhost ~] # htpasswd - c /etc/squid/passwd user01 
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[root(2 localhost ~] # htpasswd/etc/squid/passwd user02 

(3) 测试 。 

打开 IE 浏览 器 ,在 地 址 栏 中 输入 要 访问 的 网 页 地 址 后 , 按 Enter 键 ,将 弹出 如 图 4. 11 
所 示 的 对 话 框 ,要 求 输入 合法 的 用 户 名 与 密码 进行 认证 。 只 有 合法 的 用 户 才 可 以 通过 验证 
访问 互联 网 ,非法 的 用 户 则 通过 不 了 认证 ,也 就 无 法 访问 互联 网 。 


连接 到 192- 168- 100- 254 


FA 
Jt 
VIL Squid proxy-caching web server 
用 户 名 中: £ 
mu: 
口 记 住 我 的 密码 qo 


4.11 用 户 认 证 界面 


4.4 状态 检测 防火 墙 


4.4.1 状态 检测 防火 墙 工作 原理 


状态 检测 防火 墙 采用 了 状态 检测 包 过 滤 的 技术 ,是 传统 包 过 滤 的 功能 扩展 。 状 态 检测 
防火 墙 在 网 络 层 有 一 个 检查 引擎 ,截获 数据 包 并 抽取 出 与 应 用 层 状态 有 关 的 信息 ,并 以 此 为 
依据 决定 对 该 连接 进行 接受 还 是 拒绝 。 对 新 建 的 应 用 连接 ,状态 检测 检查 预先 设置 的 安全 
规则 ,允许 符合 规则 的 连接 通过 ,并 在 内 存 中 记录 下 该 连接 的 相关 信息 ,生成 状态 表 。 对 该 
连接 的 后 续 数据 包 , 只 要 符合 状态 表 , 就 可 以 通过 。 它 允许 受信 任 的 客户 机 和 不 受信 任 的 主 
机 建立 直接 连接 ,不 依靠 与 应 用 层 有 关 的 代理 ,而 是 依靠 某 种 算法 来 识别 进出 的 应 用 层 数 
据 , 这 些 算法 通过 已 知 合法 数据 包 的 模式 来 比较 进出 数据 包 , 这 样 从 理论 上 就 比 应 用 级 代理 
在 过 滤 数 据 包 上 更 有 效 。 

状态 检测 防火 墙 可 监测 RPC 和 UDP 端口 信息 ,而 包 过 滤 和 代理 都 不 支持 此 类 端口 。 
它 将 所 有 通过 防火 墙 的 UDP 分 组 视 为 一 个 虚 连 接 , 当 反 向 应 答 分 组 送 达 时 ,就 认为 一 个 虚 
拟 连接 已 经 建立 。 状 态 检测 防火 墙 克服 了 包 过 滤 防 火 墙 和 应 用 代理 服务 器 的 局 限 性 ,不 仅 
仅 检测 to" 和"*from” 的 地 址 ,而 且 不 要 求 每 个 访问 的 应 用 都 有 代理 。 目 前 ,大 部 分 用 户 使 用 
状态 监测 防火 墙 , 它 对 用 户 透明 ,在 OSI 最 高 层 上 加 密 数 据 , 而 无 须 修 改 客户 端 程序 ,也 无 
须 对 每 个 需要 在 防火 墙 上 运行 的 服务 额外 增加 一 个 代理 。 这 种 技术 提供 了 高 度 安全 的 解决 
方案 ,同时 具有 较 好 的 适应 性 和 扩展 性 。 


4.4.2 状态 检测 防火 墙 的 优点 


1. 安全 性 好 
状态 检测 防火 墙 工 作 在 数据 链 路 层 和 网 络 层 之 间 , 它 从 这 里 截取 数据 包 , 因 为 数据 链 路 


层 是 网 卡 工作 的 真正 位 置 ,网 络 层 是 协议 栈 的 第 一 层 , 这 样 防火 墙 确保 了 截取 和 检查 所 有 通 
过 网 络 的 原始 数据 包 。 防 火 墙 截取 到 数据 包 后 就 对 其 处 理 。 首 先 根据 安全 策略 从 数据 包 中 
提取 有 用 信息 ,保存 在 内 存 中 ; 然后 将 相关 信息 组 合 起 来 ,进行 一 些 罗 辑 或 数学 运算 ,获得 
相应 的 结论 ,进行 相应 的 操作 ,如 人 允许 数据 包 通过 、 拒 绝 数据 包 、 认 证 连接 .加 密 数据 等 。 状 
态 检测 防火 墙 虽然 工作 在 协议 栈 较 低层 ,但 它 检测 所 有 应 用 层 的 数据 包 , 从 中 提取 有 用 信 
息 , 如 TP 地 址 .端口 号 .数据 内 容 等 ,这 样 安全 性 得 到 很 大 提高 。 

2. 性 能 高 效 

状态 检测 防火 墙 工作 在 协议 栈 的 较 低层 ,通过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 , 而 不 
需要 协议 栈 的 上 层 处 理 任何 数据 包 , 这 样 减少 了 高 层 协议 头 的 开销 ,执行 效率 提高 很 多 。 另 
外 ,在 这 种 防火 墙 中 一 旦 一 个 连接 建立 起 来 ,就 不 用 再 对 这 个 连接 做 更 多 工作 ,系统 可 以 去 
处 理 别 的 连接 ,执行 效率 明显 提高 。 

3. 扩展 性 好 

状态 检测 防火 墙 不 像 应 用 网 关 型 防火 墙 那样 ,每 一 个 应 用 对 应 一 个 服务 程序 ,这 样 所 能 
提供 的 服务 是 有 限 的 。 而 且 , 当 增加 一 个 新 的 服务 时 ,必须 为 新 的 服务 开发 相应 的 服务 程 
Ff ,这样 系统 的 可 扩展 性 就 降低 了 。 状 态 检测 防火 墙 不 区 分 每 个 具体 的 应 用 ,只 是 根据 从 数 
据 包 中 提取 的 信息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 。 当 有 一 个 新 的 应 用 时 , 它 能 动 
态 产 生 新 应 用 的 新 规则 ,而 不 用 另外 写 代码 ,所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 

4. 配置 方便 ,应 用 范围 广 

状态 检测 防火 墙 不 仅 支持 基于 TCP 的 应 用 ,而 且 支 持 基 于 无 连接 协议 的 应 用 , 如 
RPC、 基 于 UDP fij JH DNS, WAIS, Archie 等 )。 对 于 无 连接 的 协议 ,连接 请 求 和 应 答 没 
有 区 别 , 包 过 滤 防 火 墙 和 应 用 网 关 型 防火 墙 对 此 类 应 用 要 么 不 支持 ,要 么 开放 一 个 大 范围 的 
UDP 端口 ,这样 就 暴露 了 内 部 网 ,降低 了 安全 性 。 

状态 检测 防火 墙 实现 了 基于 UDP 应 用 的 安全 ,通过 在 UDP 通信 之 上 保持 一 个 虚拟 连 
接 来 实现 。 防 火 墙 保存 通过 网 关 的 每 一 个 连接 的 状态 信息 ,允许 穿 过 防火 墙 的 UDP 请 求 
包 被 记录 。 当 UDP 包 在 相反 方向 上 通过 时 ,依据 连接 状态 表 确 定 该 UDP 包 是 否 是 被 授权 
的 , 若 已 被 授权 , 则 通过 ,和 否则 拒绝 。 如 果 在 指定 的 一 段 时 间 内 响应 数据 包 没 有 到 达 ,连接 超 
时 , 则 该 连接 被 阻塞 ,这 样 所 有 的 攻击 都 被 阻塞 。 状 态 检测 防火 墙 可 以 控制 无 效 连 接 的 连接 
时 间 , 以 避免 大 量 的 无 效 连 接 占用 过 多 的 网 络 资源 ,可 以 很 好 地 降低 DoS 和 DDoS 攻击 的 
风险 。 

状态 检测 防火 墙 也 支持 RPC, 因 为 对 于 RPC 服务 来 说 ,其 端口 号 是 不 固定 的 ,因此 简 
单 地 跟踪 端口 号 是 不 能 实现 该 种 服务 的 安全 的 。 状 态 检 测 防火 墙 通过 动态 端口 映射 图 记录 
端口 号 ,为 了 验证 该 连接 ,还 保存 连接 状态 ,程序 号 等 ,通过 动态 端口 映射 图 来 实现 此 类 应 用 
的 安全 。 


4.4.3 状态 检测 防火 墙 的 缺点 


包 过 滤 防 火 墙 得 以 进行 正常 工作 的 一 切 依据 都 在 于 过 滤 规 则 的 实施 ,但 因 其 不 能 满足 
建立 精细 规则 的 要 求 ,因此 并 不 能 分 析 高 级 协议 中 的 数据 。 应 用 网 关 型 防火 墙 的 每 个 连接 
都 必须 建立 在 为 之 创建 的 具有 一 套 复杂 的 协议 分 析 机 制 的 代理 程序 进程 上 ,这 会 导致 数据 
延迟 的 现象 。 状 态 检测 防火 墙 虽 然 继承 了 包 过 滤 防 火 墙 和 应 用 网 关 型 防火 墙 的 优点 ,克服 
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了 它们 的 缺点 ,但 它 仍 只 是 检测 数据 包 的 第 三 层 信息 ,无 法 彻底 地 识别 数据 包 中 大 量 的 垃圾 
邮件 广告 及 木马 程序 等 。 


4.4.4 状态 检测 防火 墙 与 善 通 包 过 渡 防 火 墙 对 比 


如 果 人 允许 内 网 用 户 访问 公 网 的 Web 服务 , 则 针对 普通 包 过 滤 防 火 墙 应 该 建立 一 条 类 似 
图 4. 12 所 示 的 规则 。 


动作 源 地 址 源 端口 目标 地 址 目标 端口 方向 (此 栏 为 备注 ) 
允许 * * * 80 出 


4.12 普通 包 过 滤 防 火 墙 规则 1 


以 上 规则 只 是 允许 内 网 向 公 网 请 求 Web 服务 ,但 Web 服务 响应 数据 包 怎 么 进来 呢 ? 
还 必须 建立 一 条 允许 相应 响应 数据 包 进入 的 规则 。 如 果 按 上 面 的 规则 增加 ,由 于 现在 的 数 
据 包 是 从 外 进来 的 ,所 以 源 地 址 应 该 是 所 有 外 部 的 ,在 源 端口 输入 “80”, 目 标 地 址 暂 不 限定 。 
访问 网 站 时 ,本 地 端口 是 临时 分 配 的 ,也 就 是 说 ,这 个 端口 是 不 固定 的 ,只 要 是 1023 以 上 的 
端口 都 有 可 能 ,所 以 要 把 大 于 1023 的 所 有 端口 都 开放 ,于 是 在 目标 端口 输入 *1024 一 65 535”, 
规则 如 图 4. 13 Brz ,这 就 是 普通 包 过 滤 防 火 墙 所 采用 的 方法 。 


目标 端口 | 方向 (此 栏 为 备注 ) 
80 出 


1024 一 65 535 进 


4.13 普通 包 过 滤 防 火 墙 规则 2 


当 包 过 滤 防 火 墙 要 实现 内 网 用 户 访问 公 网 的 Web 服务 时 ,入 站 的 高 端口 全 开放 了 ,而 
很 多 危险 的 服务 使 用 的 也 是 高 端口 ,比如 微软 的 终端 服务 /远程 桌面 监听 的 端口 就 是 3389. 
当然 对 这 种 固定 的 端口 还 好 说 ,把 进 站 的 3389 封 了 就 行 ,但 对 于 同样 使 用 高 端口 却 是 动态 
分 配 端 口 的 RPC 服务 就 没 那么 容易 处 理 了 ,因为 是 动态 的 ,所 以 不 便 封 住 某 个 特定 的 RPC 
服务 。 

针对 状态 检测 防火 墙 , 当 实 现 内 网 用 户 访问 公 网 的 Web 服务 时 ,需要 建立 一 条 类 似 
图 4.12 所 示 的 规则 ,但 不 需要 建立 图 4. 13 所 示 的 规则 。 如 果 有 内 网 用 户 在 客户 端 打开 IE 
浏览 器 并 向 某 个 网 站 请 求 Web 页 面 , 当 数据 包 到 达 防 火 墙 时 ,状态 检测 引擎 会 检测 到 这 是 
一 个 发 起 连接 的 初始 数据 包 ( 由 SYN 标志 ) ,然后 它 就 会 把 这 个 数据 包 中 的 信息 与 防火 墙 
规则 作 比 较 。 如 果 没 有 相应 规则 允许 ,防火 墙 就 会 拒绝 这 次 连接 ; 如 果 有 相应 规则 允许 , 那 
么 就 会 允许 数据 包 通 过 并 且 在 状态 表 中 新 建 一 条 会 话 。 通 常 ,这 条 会 话 包 括 此 连接 的 源 地 
址 , 源 端 口 、 目 标 地 址 ,目标 端口 .连接 时 间 等 信息 。 对 于 TCP 连接 , 它 还 应 该 包含 序列 号 和 
标志 位 等 信息 。 当 后 续 数 据 包 到 达 时 ,如 果 这 个 数据 包 不 含 SYN 标志 ,也 就 是 说 ,这 个 数 
据 包 不 是 发 起 一 个 新 的 连接 时 ,状态 检测 引擎 就 会 直接 把 它 的 信息 与 状态 表 中 的 会 话 条 目 
进行 比较 。 如 果 信 息 匹配 ,就 直接 允许 数据 包 通 过 ,这 样 不 再 接受 规则 的 检查 ,提高 了 效率 ， 
如 果 信 息 不 匹配 ,数据 包 就 会 丢弃 或 连接 被 拒绝 ,并 且 每 个 会 话 还 有 一 个 超时 值 ,过 了 这 个 
时 间 ,相应 会 话 条 目 就 会 在 状态 表 中 被 删除 。 外 部 Web 网 站 对 内 网 用 户 的 响应 包 来 说 ,由 


于 状态 检测 引擎 能 检测 出 返回 的 数据 包 属 于 Web 连接 的 哪个 会 话 ,所 以 它 会 动态 打开 端口 
以 允许 返回 包 进 入 ,传输 完毕 后 又 动态 地 关闭 这 个 端口 ,这样 就 避免 了 普通 包 过 滤 防 火 墙 那 
种 静态 地 开放 所 有 高 端 端口 的 危险 做 法 。 同 时 ,由 于 有 会 话 超时 的 限制 ,因此 它 能 够 有 效 地 
避免 外 部 的 DoS 攻击 ,并且 外 部 伪造 的 ACK 数据 包 也 不 会 进入 ,因为 它 的 数据 包 信息 不 会 
匹配 状态 表 中 的 会 话 条 目 。 

上 面 针对 的 是 TCPCWeb 服务 ) 连 接 的 状态 检测 ,但 对 UDP 协议 同样 有 效 , 虽 然 UDP 
不 是 像 TCP 那样 有 连接 的 协议 ,但 状态 检测 防火 墙 会 为 它 创建 虚拟 的 连接 。 相 对 于 TCP 
和 UDP 来 说 ,ICMP 的 处 理 要 难 一 些 , 但 它 仍然 有 一 些 信息 来 创建 虚拟 的 连接 ,关键 是 有 些 
ICMP 数据 包 是 单 向 的 ,也 就 是 当 TCP 和 UDP 传输 有 错误 时 会 有 一 个 ICMP 数据 包 返 回 。 
对 于 ICMP 的 处 理 , 不 同 的 防火 墙 产品 可 能 有 不 同 的 方法 。 在 ISA Server 2000 中 ,不 支持 
ICMP 的 状态 检查 ,只 能 静态 地 允许 或 拒绝 ICMP 包 的 进出 。 


4.4.5 复合 型 防火 墙 


复合 型 防火 墙 是 指 综合 了 状态 检测 与 透明 代理 的 新 一 代 防 火 墙 ,进一步 基于 ASIC 78 
构 ,把 防 病毒 .内容 过 滤 整合 到 防火 墙 中 ,其 中 还 包括 VPN、IDS 功能 ,多 单元 融 为 一 体 ,是 
一 种 新 突破 。 常 规 的 防火 墙 并 不 能 防止 隐蔽 在 网 络 流量 里 的 攻击 ,但 复合 型 防火 墙 可 在 网 
络 界面 对 应 用 层 扫描 ,把 防 病毒 ,内容 过 滤 与 防火 墙 结合 起 来 ,这 体现 了 网 络 与 信息 安全 的 
新 思路 。2004 年 9 月 ,IDC 首 度 提出 “统一 威胁 管理 ”的 概念 ,即将 防 病毒 、 入 侵 检 测 和 防火 
墙 安全 设备 划 归 统一 威胁 管理 (Unified Threat Management,UTM) 新 类 别 。UTM 的 典型 
代表 是 Fortinet 公司 的 产品 FortiGate。 


4.4.6 UTM 防火 墙 的 配置 与 应 用 


3 课业 任务 4-6 
图 4.14 所 示 是 WYL 公司 构建 的 拓扑 ,防火 墙 选择 Fortinet 公司 的 UTM 产品 
FortiGate 3600 ,其 中 防火 墙 的 internal 接口 连接 的 是 内 部 网 络 ,portl 接口 连接 的 是 外 部 网 
络 ,external 接口 连接 的 是 DMZ 区 域 。 现 在 要 FortiGate 3600 
求 内 部 用 户 能 通过 防火 墙 的 NAT 功能 访问 互 192168.8.13/24 gc 
联网 资源 ,并 将 内 部 网 络 中 的 Web Server 通 过 — E p 
防火 墙 发 布 出 去 。 192.168.8.250/24 6020 
具体 实现 步骤 如 下 : 
(1) 登录 到 FortiGate 3600 主 界面 ,根据 
任务 要 求 设置 网 络 接口 参数 ,如 图 4. 15 所 示 。 
port] 接口 : 需要 配置 IP 地 址 \ 掩 码 。 
internal 接口 : 需要 配置 IP 地 址 、 掩 码 。 
external 接口 : 需要 配置 IP 地 址 、 掩 码 。 图 4.14 WYL 公司 的 网 络 拓扑 
(2) portl,internal, external 这 3 个 网 络 
接口 参数 设置 完成 的 界面 如 图 4. 16 所 示 。 
(3) 设置 两 条 静态 路 由 。 到 达 互 联网 的 静态 路 由 设置 如 图 4. 17 所 示 ,到 达 内 部 局 域 网 
的 静态 路 由 设置 完成 界面 如 图 4. 18 所 示 。 
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FortiGate 3600 


SO mti porti (00:09:0F:67:22:28) 


* Status 


Cernet 
未 启用 


* Usage 


S ga us 


9 自 定义 DHCP 
IP 地 址 / 子 网 搞 码 : 


PPPoE 


219.223.136.253/255.255.255.0 


* DNS 服务 器 
* 网 络 代理 
(Q3 DHCP 服 务 器 


开启 山口 监控 功能 
E 开户 吐 式 Web 代理 功能 

B 自用 DDNS 

D 分 衣 大 于 MTU 的 输出 包 ， (15 Ge) 
E 自用 DNS 直 音 Bf [] 


管理 访问 Bars Mpm 回 HTrp 
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mags am 

Gi Cent, 

elt t E 219.223.136.254 

设置 用 户 Anth 国 pine E TCP Echo Fl UDP Echo 
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4.15 接口 参数 设置 


FortiGate 3600 


2000/0905 MITPS PING eU 


4.16 网 络 接口 参数 设置 完成 的 界面 


FortiGate 3600 
lr 


BiSIP/ FIRES 
pori(Cemet) [e] 
219.223.136.254 


10 (1-255) 
FIEL o (0-4294967295) 


图 4.17 静态 路 由 设置 


4.18. 静态 路 由 设置 完成 界面 


(4) 设置 静态 NAT 和 动态 PAT 转换 。 设 置 虚 拟 IP 地 址 ,将 219. 223. 136. 6 映射 到 
DMZ 区 域 中 的 Web 服务 器 192. 168. 8. 13, 参 数 设 置 如 图 4. 19 所 示 。 设 置 一 个 IP 地 址 池 ， 
IP 地 址 范围 为 219. 223. 136. 10-219. 223. 136. 100 ,参数 设置 如 图 4. 20 所 示 。 


FortiGate 3600 
编辑 虚拟 IP 映 射 
E Www tfo edu cn 
asen z] 
SEAN na BSNT 
DNE 外 部 的 IP 地 址 或 节 围 “219.223.136.5 
ET ROME) 192.168.813 
Dosw 
-RINE WORE 
iis ok md 
由 国 sent 
SaR 


4.19 虚拟 IP 设 置 


编辑 动态 TP 池 
ew Fernet 
TP 地 址 范围 /于 网 “219.223.136.10-219.223.136.100 
cE Re 
-RG 


^ BEBNATÉ 
* Dosa 
-FaR 
» Miis 
ig 地 址 
[1-1 3 
| 2 nas 


Æ 4.20 IP 地 址 池 设 置 


O) 定义 上 网 策略 。 实 现 内 网 用 户 访问 互联 网 ,同时 启动 UTM 功能 ,并 实现 病毒 检测 
和 开户 IPS 功能 ,参数 设置 如 图 4. 21 所 示 。 

(6) 定义 对 外 发 布 服务 器 策略 。 对 外 发 布 Web 服务 器 ,同时 启动 UTM 功能 ,保护 
Web 免 受 互 联网 用 户 的 攻击 ,参数 设置 如 图 4. 22 所 示 。 所 有 策略 设置 完成 后 的 界面 如 
图 4.23 所 示 。 
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FortiGate 3600 


源 接口 /区 internal(internal) I] 
源 地 址 LAN E - 
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图 4.21 定义 上 网 策略 


FortiGate 3600 
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图 4.22 定义 对 外 发 布 服务 器 策略 


9 TE 了 LARE] 分 区 视图 〇 全 局 视图 


a rame WM。 "HR 到 ] UAR 


- MÀ -> porti(Cernet) (1) 


口 6 9 DMZ ə all always © ANY ACCEPT 
Y internak(internal) -> external(DMZ) (1) 
口 5 9 LAN ə all always © ANY ACCEPT 


Y internal(internal) -> porti(Cernet) (1) 
[m] 4 9 LAN 9 all always — 9 ANY ACCEPT 
vw porti(Cernet) -> external(DMZ) (1) 


E 8 9 all 9 www.thxy.edu.cn always ACCEPT vi 
» fax (1) 


1. 选择 题 
(1) 一 般 而 言 ,Internet 防火 墙 建立 在 一 个 网 络 的 ( Je 
A. 内 部 网 络 与 外 部 网 络 的 交叉 点 
B. 每 个 子 网 的 内 部 
C. 部 分 内 部 网 络 与 外 部 网 络 的 结合 处 
D. 内 部 子 网 之 间 传 送信 息 的 中 枢 
(2) 下 面 关 于 防火 墙 的 说 法 中 ,正确 的 是 ( Js 
A. 防火 墙 可 以 解决 来 自 内 部 网 络 的 攻击 
B. 防火 墙 可 以 防止 受 病毒 感染 的 文件 的 传输 
C. 防火 墙 会 削弱 计算 机 网 络 系统 的 性 能 
D. 防火 墙 可 以 防止 错误 配置 引起 的 安全 威胁 
G) 包 过 滤 防 火 墙 工作 在 Xs 


A. 物理 层 B. 数据 链 路 层 
C. 网 络 层 D. 会 话 层 
(4) 防火 墙 中 地 址 翻译 的 主要 作用 是 ( ^. 
A. 提供 代理 服务 B. 隐藏 内 部 网 络 地 址 
C. 进行 人 侵 检测 D. 防止 病毒 入侵 


(5) WYL 公司 申请 到 5 个 IP 地 址 ,要 使 公司 的 20 台 主 机 都 能 联 到 Internet. 上 ,需要 


使 用 防火 墙 的 ( ) 功 能 。 


A. 假冒 IP 地 址 的 侦 测 B. 网 络 地 址 转换 技术 
C. 内 容 检查 技术 D. 基于 地 址 的 身份 认证 


(6) 根据 统计 显示 ,80% 的 网 络 攻击 源 于 内 部 网 络 , 因 此 ,必须 加 强 对 内 部 网 络 的 安全 


控制 和 防范 。 下 面 的 措施 中 ,对 避免 内 部 用 户 之 间 的 攻击 无 作用 的 是 ( 


A. 使 用 防 病毒 软件 B. 使 用 日 志 审 计 系统 
C. 使 用 入 侵 检测 系统 D. 使 用 防火 墙 防止 内 部 攻击 
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(7) 关于 防火 墙 的 描述 不 正确 的 是 ( pm 
A. 防火 墙 不 能 防止 内 部 攻击 
B. 如 果 一 个 公司 的 信息 安全 制度 不 明确 ,拥有 再 好 的 防火 墙 也 没有 用 
C. 防火 墙 是 IDS 的 有 利 补充 
D. 防火 墙 既 可 以 防止 外 部 用 户 攻击 ,也 可 以 防止 内 部 用 户 攻击 
(8) 包 过 滤 是 有 选择 地 让 数据 包 在 内 部 与 外 部 主机 之 间 进 行 交换 ,根据 安全 规则 有 选 
择 地 路 由 某 些 数据 包 。 下 面 不 能 进行 包 过 滤 的 设备 是 ( Jis 


A. 路 由 器 B. 一 台独 立 的 主机 
C. 二 层 交换 机 D. 网 桥 
2. 简 答题 


CD. 防火 墙 的 两 条 默认 准则 是 什么 ? 

(2) 防火 墙 技术 可 以 分 为 哪些 基本 类 型 ? 各 有 何 优 缺 点 ? 

(3) 防火 墙 产品 的 主要 功能 是 什么 ? 

3. 综合 应 用 题 

图 4. 24 所 示 的 拓扑 图 中 是 某 公 司 在 构建 公司 局 域 网 时 所 设计 的 一 个 方案 ,中 间 的 一 
设备 是 用 Netfilter/Iptables 构建 的 防火 墙 ,ethl 连接 的 是 内 部 网 络 ,eth0 连接 的 是 外 部 网 
络 , 请 对 照 图 回答 下 面 的 问题 。 


ethl: eth0: 一 
aa 10.0.0.254/24 (10.0.0.1/24 Web 
192. g 1/24 


Netfilter/Iptables 


Client 


4.24 公司 局 域 网 拓扑 


【问题 1】 

从 技术 的 角度 来 分 ,防火 墙 可 分 为 哪 几 种 类 型 ? 请 问 上 面 的 拓扑 属于 哪 一 种 类 型 的 防 
火 墙 ? 

【问题 2] 

如 果 想 让 内 部 网 络 的 用 户 上 网 , 则 需要 网 络 地 址 转换 才能 实现 ,请 问 Iptables 上 的 
NAT 有 哪 几 种 类 型 ? 想 让 内 部 网 络 的 用 户 上 网 ,要 做 的 是 哪 一 种 类 型 ? 

【问题 | 

如 果 想 让 内 部 网 络 的 用 户 上 网 ,请 完成 下 面 的 配置 。 

(1) 打开 IP 转发 功能 。 


# echo " " >/proc/sy/net/ipv4/ip_forward 

(2) 做 NAT。 

# iptables -t nat -A —o eth0 -ss 192. 168. 0. 0/24 - j —- to 10. 0. 0. 254 
(3) 查看 配置 。 


# ipables -tnat 


第 5 章 计算 机 病毒 及 其 防治 


随 着 计算 机 技术 的 普及 和 发 展 , 计 算 机 系统 的 安全 已 成 为 计算 机 用 户 普遍 关注 的 问题 。 
而 计算 机 病毒 是 计算 机 系统 的 巨大 威胁 之 一 ,计算 机 病毒 一 旦 发 作 , 轻 则 破坏 文件 .损害 系 
统 , 重 则 造成 网 络 瘫痪 。 因 此 ,势必 要 了 解 计算 机 病毒 ,使 计算 机 免 受 其 恶意 的 攻击 与 破坏 。 
» 学 习 目 标 
了 解 计算 机 病毒 的 定义 及 特征 。 
熟悉 计算 机 病毒 的 传播 途径 及 其 主要 危害 。 
熟悉 计算 机 病毒 发 作 后 的 症状 。 
掌握 CIH 病毒 . 安 病 毒 .蠕虫 病毒 ,特洛伊 木马 的 主要 特征 及 防治 对 策 。 
掌握 木马 程序 的 工程 原理 ,以 及 手工 清除 木马 的 常见 方法 。 
掌握 企业 版 杀毒 软件 的 安装 及 配置 。 


» 课业 任务 

本 章 通 过 一 个 实际 课业 任务 ,介绍 企业 版 杀毒 软件 部 署 的 相关 原理 ,以 及 如 何 安装 企业 
杀毒 软件 的 服务 器 端 与 客户 端 。 

A 课业 任务 5-1 


WYL 公司 采用 Symantec Endpoint Protection 作为 安全 防护 解决 方案 ,网 络 管理 员 需 
要 在 一 台 安 装 Windows Server 2008 操作 系统 的 计算 机 上 安装 Symantec Endpoint 
Protection 服务 器 端 软 件 , 然 后 对 其 受 管 的 所 有 客户 端 进行 部 署 。 

能 力 观测 点 

企业 版 杀毒 软件 部 署 原 理 ; 企业 版 杀毒 软件 服务 器 端的 安装 ; 企业 版 杀毒 软件 客户 端 
的 生成 与 安装 。 


5.1 计算 机 病毒 概述 


5.1.1 计算 机 病毒 的 概念 


1994 年 2 月 18 日 ,计算 机 病毒 (Computer Virus) 在 (中华 人民 共 和 国 计 算 机 信息 系统 
安全 保护 条 例 ) 中 进行 了 明确 的 定义 :“ 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 
或 者 毁坏 数据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

也 就 是 说 ,计算 机 病毒 就 是 一 段 程序 ,但 是 它 具 有 自己 的 特殊 性 。 首 先 , 计 算 机 病毒 利 
用 计算 机 资源 的 脆弱 性 破坏 计算 机 系统 ; 其 次 ,计算 机 病毒 不 断 地 进行 自我 复制 ,在 潜伏 期 
内 ,通过 各 种 途径 传播 到 其 他 系统 并 隐藏 起 来 , 当 达 到 触发 条 件 时 被 激活 ,从 而 导致 系统 被 
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恶意 破坏 。 
5.1.2. 计算 机 病毒 的 发 展 


1. 计算 机 病毒 的 起 源 

20 世纪 60 年 代 初 ,在 美国 贝尔 实验 室 里 ,3 个 年 轻 的 程序 员 编写 了 一 个 名 为 “ 磁 芯 大 
战 ? 的 游戏 ,游戏 中 通过 复制 自身 来 摆脱 对 方 的 控制 ,这 就 是 所 谓 “ 病 毒 ” 的 第 一 个 秩 形 。 

20 世纪 70 年 代 , 美 国 作家 雷 恩 在 其 出 版 的 (P. 1 的 青春 ) 一 书 中 构思 了 一 种 能 够 自我 
复制 的 计算 机 程序 ,并 第 一 次 称 为 “计算 机 病毒 ”。 

2. 第 一 个 病毒 

1983 年 11 月 ,在 国际 计算 机 安全 学 术 研 讨 会 上 ,美国 计算 机 专家 首次 将 病毒 程序 在 
VAX/750 计算 机 上 进行 了 实验 ,世界 上 第 一 个 计算 机 病毒 就 这 样 出 生 在 实验 室 中 。 

20 世纪 80 年 代 后 期 ,巴基斯坦 有 两 个 以 编 软 件 为 生 的 兄弟 为 了 打击 那些 盗版 软件 的 
使 用 者 ,设计 出 了 一 个 名 为 “巴基斯坦 ”的 病毒 ,该 病毒 只 传染 软盘 引导 。 这 就 是 最 早 在 世界 
上 流行 的 一 个 真正 的 病毒 。 

3. DOS 阶段 

1988 一 1989 年 ,我 国 也 相继 出 现 了 能 感染 硬盘 和 软盘 引导 区 的 Stoned( 石 头 ) 病 毒 。 该 
病毒 体 代码 中 有 明显 的 标志 “Your PC is now Stoned!”“LEGALISE MARIJUANA", t 
称 为 “大 麻 病 毒 " 等 。 该 病毒 感染 软 硬 盘 0 面 0 道 1 扇 区 ,并 修改 部 分 中 断 向 量 表 。 该 病毒 
不 隐藏 也 不 加 密 自身 代码 ,所 以 很 容易 被 查 出 和 解除 。 类 似 这 种 特性 的 还 有 小 球 、Azusa/ 
Hong Kong/2708、Michaelangelo, 这 些 都 是 从 国外 传染 进来 的 。 国产 的 Bloody, Torch, 
Disk Killer 等 病毒 ,实际 上 它们 大 多 数 是 Stoned 病毒 的 翻版 。 

20 世纪 90 年 代 初 ,感染 文件 的 病毒 有 Jerusalem (黑色 13 号 星期 五 )、YankeeDoole、 
Liberty、1575、Traveller、1465、2062、4096 等 ,主要 感染 . com 和 . exe 文件 。 这 类 病毒 修改 
了 部 分 中 断 向 量 表 , 被 感染 的 文件 明显 地 增加 了 字 节 数 , 并 且 病 毒 代 码 主 体 没 有 加 密 , 也 容 
易 被 查 出 和 解除 。 在 这 些 病 毒 中 , 略 有 对 抗 反 病毒 手段 的 只 有 YankeeDoole 病毒 , 当 发 现 
用 户 用 DEBUG 工具 跟踪 它 时 , 它 会 自动 从 文件 中 逃走 。 

接着 ,一 些 能 对 自身 进行 简单 加 密 的 病毒 相继 出 现 , 有 1366 (DaLian) , 1824 (N64), 
1741(Dong) 、1100 等 病毒 。 它 们 加 密 的 目的 主要 是 防止 跟踪 或 掩盖 有 关 特 征 等 。 

以 后 又 出 现 了 引导 区 、 文 件 型 “双料 ”病毒 ,这 类 病毒 既 感 染 磁盘 引导 区 ,又 感染 可 执行 
文件 ,常见 的 有 Flip/Omicron (颠倒 )、XqR (New Century 新 世纪 )、Invader/ 侵 入 者 、 
Plastique/ 塑 料 炸弹 、3584/ 郑 州 ( 狼 )、3072( 秋 天 的 水 )、ALFA/3072. 2、Ghost/One_Half/ 
3544(H4 20) ,Natas(H4 33 E) , TPVO/3783 等 。 如 果 只 解除 了 文件 上 的 病毒 ,而 没 解除 硬盘 
主 引导 区 的 病毒 ,系统 引导 时 又 将 病毒 调和 内 存 ,会 重新 感染 文件 。 如 果 只 解除 了 主 引 导 区 
的 病毒 ,而 可 执行 文件 上 的 病毒 没 解除 ,一 执行 带 病毒 的 文件 ,就 会 又 将 硬盘 主 引 导 区 感染 。 

1992 年 以 来 ,DIR2. 3, DIR2. 6, NEW DIR2 病毒 以 一 种 全 新 的 面貌 出 现 ,具有 的 感染 力 
极 强 ,无 任何 表现 ,不 修改 中 断 向 量 表 ,而 直接 修改 系统 关键 中 断 的 内 核 , 修 改 可 执行 文件 的 
首 复数 ,将 文件 名 称 与 文件 代码 主体 分 离 。 在 系统 有 此 病毒 的 情况 下 ,一 切 就 像 没 发 生 一 
样 。 而 在 系统 无 病毒 时 , 当 用 户 用 无 病毒 的 文件 去 覆盖 有 病毒 的 文件 时 ,灾难 就 会 发 生 , 全 
盘 所 有 被 感染 的 可 执行 文件 内 容 都 是 刚 覆盖 进去 的 文件 内 容 , 这 就 是 病毒 “我 死 你 也 活 不 


成 ”的 罪恶 伎俩 。 该 病毒 的 出 现 , 使 病毒 又 多 了 一 种 新 类 型 。 

20 世纪 的 绝 大 多 数 病 毒 是 基于 DOS 系统 的 , 约 80% 的 病毒 能 在 Windows 中 传染 。 
TPVO/3783 病毒 是 “双料 性 ”( 传 染 引 导 区 文件)“ 双重 性 "(DOS、Windows) 病 毒 ,这 就 是 
病毒 随 着 操作 系统 发 展 而 发 展 起 来 的 病毒 。 

4. Windows 阶段 

随 着 Windows 9x, Windows 2000 操作 系统 的 发 展 ,病毒 种 类 也 随 着 它 的 变化 而 变化 。 
下 面 介 绍 几 种 典型 的 Windows 病毒 。 

(1) Win32. CAW. 1XXX 病毒 。Win32. CAW. 1XXX 病毒 是 驻 留 内 存 的 Win32 病毒 ， 
它 感染 本 地 和 网 络 中 的 PE 格式 文件 。 该 病毒 来 源 于 一 种 32 位 的 Windows" CAW 病毒 生 
产 机 ”, 该 ”CAW 病毒 生产 机 ”是 国际 上 一 家 有 名 的 病毒 编写 组 织 开发 的 。 

“CAW 病毒 生产 机 ”能 生产 出 各 种 各 样 的 CAW 病毒 ,有 加 密 的 和 不 加 密 的 ,其 字 节 数 
一 般 在 1000 一 2000。 目 前 在 国内 流行 的 有 CAW. 1531, CAW. 1525, CAW. 1457, CAW. 
1419,CAW. 1416 CAW. 1335, CAW. 1226 等 ,在 国际 上 流行 的 CAW. 1XXX 病毒 种 类 
更 多 。 

Win32. CAW. 1XXX 病毒 可 进行 以 下 破坏 。 

当 病 毒 驻 留 在 内 存 中 时 ,病毒 会 在 每 日 的 整 点 时 间 , 如 1:00.6:00、10:00 等 ,删除 一 些 特 
定 的 文件 ,如 . bmp、. jpg.. doc、. wri、. bas,. sav、. pdf、. rtf、. txt 文件 ,以 及 WINWORD. EXE, 

当 7 月 7 日 的 时 候 ,CAW 病毒 就 会 发 作 ,删除 硬盘 上 的 所 有 文件 。 

某 些 CAW. 1XXX 病毒 有 缺陷 , 当 感 染 上 该 病毒 的 文件 被 破坏 后 ,杀毒 后 的 文件 也 无 法 
修复 ,只 能 用 正常 文件 覆盖 坏 文 件 。 有 些 病毒 还 有 重复 多 层次 感染 文件 的 缺陷 ,容易 将 文件 
写 坏 。 

(2) Win32. Funlove. 4099 病毒 。Win32. Funlove. 4099 病毒 感染 本 地 和 网 络 中 的 
PE. EXE X ff. 

病毒 本 身 就 是 只 具有 "“. code” 部 分 PE 格式 的 可 执行 文件 。 

当 染 毒 的 文件 被 运行 时 ,该 病毒 将 在 Windows\system 目录 下 创建 FLCSS. EXE 文件 ， 
在 其 中 只 写 和 病毒 的 纯 代 码 部 分 ,并 运行 这 个 生成 的 文件 。 

一 旦 在 创建 FLCSS. EXE 文件 时 发 生 错误 ,病毒 将 从 感染 病毒 的 主机 文件 中 运行 传染 
模块 。 该 传染 模块 将 作为 独立 的 线程 在 后 台 运 行 ,主机 程序 在 执行 时 几乎 没有 可 察觉 的 
延 时 。 

传染 模块 将 扫描 本 地 从 C: 到 Z: 的 所 有 驱动 器 ,然后 搜索 网 络 资源 ,扫描 网 络 中 的 子 
目录 树 并 感染 具有 .ocx、. scr 或 者 . exe 扩展 名 的 PE 文件 。 

这 个 病毒 类 似 于 Bolzano 病毒 .可 修补 NTLDR 和 Winnt\system32\ntoskrnl. exe, 被 
修补 的 文件 自己 不 可 以 恢复 ,只 能 通过 备份 来 恢复 。 

(3) Win32. KRIZ. 4250 病毒 。Win32. KRIZ. 4250 病毒 已 大 面积 传播 ,这 是 一 种 变形 
病毒 ,变化 多 端 。 每 年 的 12 月 25 日 ,该 病毒 可 像 CIH 病毒 一 样 ,破坏 硬盘 数据 与 主板 
BIOS。 该 病毒 目前 也 有 许多 字 节 数 不 同 的 变种 。 

病毒 的 种 类 、 传 染 和 攻击 的 手法 越 来 越 高 超 , 在 Windows 环境 下 最 为 知名 的 就 属 寄存 
在 文档 或 模板 的 宏 中 的 宏 病 毒 。 

近 几 年 ,出 现 了 近 万 种 Word(Macro 宏 ) 病 毒 .并 以 迅猛 的 势头 发 展 , 已 形成 了 病毒 的 
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另 一 大 派系 。 由 于 宏 病 毒 编 写 容 易 ,不 分 操作 系统 ,再 加 上 Internet. 上 的 Word 格式 文件 的 
大 量 交流 , 宏 病 毒 会 潜伏 在 这 些 Word 文件 里 ,被 人 们 在 Internet. 上 传 来 传 去 。 

5. Internet 阶段 

随 着 Internet 的 发 展 ,激发 了 病毒 更 加 广泛 的 活力 。 病 毒 通过 网 络 的 快速 传播 ,为 世界 
带 来 了 一 次 一 次 的 巨大 灾难 。 

1999 年 3 月 6 日 ,一 个 名 为 “美丽 杀 ” 的 计算 机 病毒 席卷 了 欧 、 美 各 国 的 计算 机 网 络 。 
这 种 病毒 利用 邮件 系统 大 量 复制 .传播 ,造成 网 络 阻塞 ,甚至 瘫痪 。 并 且 , 这 种 病毒 在 传播 过 
程 中 还 会 泄密 。 在 美国 ,白宫 等 政府 部 门 、 微 软 和 Intel 等 一 些 大 公司 ,为 了 避免 更 大 的 损 
失 , 紧 急 关 闭 了 网 络 服务 器 ,检查 、 清 除 “ 美 丽 杀 ”病毒 。 由 于 “美丽 杀 ” 病 毒 损害 了 美国 政府 
和 大 型 企业 的 利益 ,美国 联邦 调查 局 (FBI) 迅 速 行动 。 经 过 四 五 天 的 技术 侦察 ,将 病毒 制造 
者 史密斯 抓获 。 但 是 “美丽 杀 ” 病 毒 已 使 300 多 家 大 型 公司 的 服务 器 瘫痪 ,这 些 公司 的 业务 
依赖 于 计算 机 网 络 , 服 务 器 瘫痪 后 造成 公司 正常 业务 停顿 ,损失 巨大 。 并 且 , 随 后 “美丽 杀 ” 
病毒 的 源 代码 在 互联 网 上 公布 ,功能 类 似 于 “美丽 杀 ” 的 其 他 病毒 或 蠕虫 接连 出 台 , 如 PaPa, 
Copycat 等 。 然 而 ,这 仅仅 是 计算 机 病毒 肆虐 网 络 的 序曲 。 

1998 年 2 月 ,台湾 的 陈 盈 豪 编写 出 了 破坏 性 极 大 的 Windows 恶性 病毒 CIH vl. 2 版 ， 
并 定 于 每 年 的 4 月 26 日 发 作 , 然 后 悄悄 地 潜伏 在 网 上 的 一 些 供 人 下 载 的 软件 中 。 

可 是 ,两 个 月 的 时 间 内 ,被 人 下 载 得 不 多 ,到 了 4 月 26 日 ,病毒 只 在 台湾 省 少量 发 作 ,并 
没 引 起 重视 。 心 理 扭曲 的 陈 盈 豪 不 甘心 ,又 炮制 了 CIH vl. 3 版 ,并 将 破坏 时 间 设 在 6 月 
26 A. 

还 是 两 个 月 的 时 间 ,CIH v1. 3 版 被 人 下 载 得 也 不 多 ,6 月 26 日 也 没 多 大 破坏 。 心 理 扭 
曲 到 极点 的 陈 盈 豪 有 点 恼怒 , 没 看 到 很 大 的 破坏 ,心里 很 不 痛快 。7 月 ,他 又 炮制 出 了 CIH 
vl1.4 版 。 这 次 ,他 干脆 将 破坏 时 间 设 为 每 月 的 26 日 ,他 要 月 月 看 到 人 们 遭 瑞 。 

很 不 巧 的 是 ,就 在 那 一 年 ,在 国内 外 上 映 的 台湾 电视 剧 女 主角 “小 龙 女 ”的 肖像 被 广泛 用 
在 计算 机 的 屏幕 保护 程序 中 ,CIH vl. 2,CIH vl. 4 病毒 也 被 悄悄 注 进 该 程序 ,大 量 的 用 户 
从 网 上 下 载 使 用 。 同 时 ,该 程序 也 被 广泛 地 装 进 各 种 各 样 的 盗版 光盘 中 ,3 种 版 本 的 CIH 
病毒 被 广泛 地 扩散 ,当时 的 反 病 毒 公司 也 没有 及 时 发 现 。 因 此 ,这 种 全 新 的 Windows 病毒 
到 处 传播 ,危机 的 阴影 迅速 笼罩 着 四 方 。 

一 个 月 后 ,也 就 是 1998 年 8 月 26 日 ,CIH vl. 4 病毒 首先 跳出 来 发 作 d E 4) Hb DX 3 
到 袭击 ,但 损害 面积 不 大 。 事 后 ,为 了 避免 更 大 灾害 ,我国 政府 职能 部 门 公安 部 发 出 了 通缉 
3 种 CIH 病毒 的 通告 。 当 时 ,使 用 正版 杀毒 软件 不 被 一 些 用 户 重视 ,又 不 经 常 升级 杀毒 软 
件 , 又 经 过 一 年 的 传播 ,CIH vl. 2 病毒 已 传 遍 全 世界 ,世界 性 的 巨大 杀机 潜伏 下 来 了 ,一 场 
人 类 史无前例 的 信息 大 劫难 即将 暴发 。 

1999 4E 4 H 26 日 ,一 个 计算 机 行业 难以 忘却 的 日 子 ,也 就 是 到 了 CIH vl. 2 病毒 第 二 
年 的 发 作 日 ,人 们 一 上 班 便 轻松 地 打开 计算 机 准备 工作 ,可 是 ,打开 一 台 计 算 机 后 ,屏幕 一 闪 
就 黑暗 一 片 。 再 打开 另外 几 台 ,也 同样 一 闪 后 就 再 也 启动 不 起 来 。 计 算 机 史上 ,病毒 造成 的 
又 一 次 巨大 的 浩劫 发 生 了 。 

一 大 早 , 反 病毒 软件 公司 所 有 的 电话 铃声 响 个 不 停 , 急 促 的 报警 电话 蜂拥 而 来 。 门 外 ， 
需要 修复 数据 而 手持 硬盘 和 抬 着 机 器 的 人 们 排列 得 一 条 长 龙 , 从 楼 上 到 楼 下 ,一 直 排 到 大 街 
上 。“ 谁 能 给 我 修复 好 数据 ,我 出 高 价 !” 的 叫喊 声 到 处 可 听见 。 


据 报道 ,此 次 病毒 的 浩 动 在 东方 的 亚洲 国家 最 严重 。 欧 美国 家 嘲笑 东方 国家 ,一 种 说 法 
是 该 病毒 由 于 盗版 严重 而 带 来 的 ,第 二 种 说 法 是 反 病毒 软件 落后 。 可 是 ,在 此 前 的 一 个 月 ， 
欧美 的 “美丽 杀 ” 病 毒 在 西方 造成 了 更 为 严重 的 灾难 ,其 经 济 损失 远 远 超过 CIH 病毒 对 亚洲 
造成 的 损失 ,而 CIH 病毒 造成 的 破坏 绝 大 部 分 可 以 修复 。 

由 于 欧美 国家 早 一 个 月 发 生 “ 美 丽 杀 ”病毒 灾难 ,引起 欧 亚 国家 媒体 爆 炒 “ 美 丽 杀 ”病毒 ， 
在 一 定 程度 上 起 了 误导 作用 。 国 内 的 老牌 反 病毒 公司 北京 江 民 公司 ,通过 国内 强大 的 病毒 
反馈 网 ,以 灵敏 的 嗅觉 警惕 到 CIH v1. 2 病毒 要 在 4 月 26 日 大 发 作 ! 便 不 惜 重 金 在 报纸 上 
用 广告 和 文章 的 形式 在 4 月 26 日 前 连篇 提醒 人 们 重视 防范 CIH 病毒 。 这 在 当时 可 能 是 国 
内 唯一 的 一 家 提醒 人 们 重视 防范 CIH 病毒 的 反 病毒 公司 ,但 是 ,还 是 被 淹没 在 爆 炒 “美丽 
杀 ” 病 毒 的 文章 中 。 只 有 部 分 人 看 到 防范 CIH 病毒 的 报纸 后 ,并 即时 升级 查 杀 了 CIH 病 
毒 , 才 幸 免 于 难 。 

随 着 Internet 的 发 展 ,病毒 传播 更 加 方便 、 广 泛 ,网 络 蠕虫 病毒 已 成 为 病毒 主力 ,这 应 使 
人 们 严 加 防范 。 


5.2 计算 机 病毒 的 特征 及 传播 途径 


5.2.1 计算 机 病毒 的 特征 


1. 非 授权 可 执行 性 

用 户 在 调用 并 执行 一 个 程序 时 ,通常 把 系统 控制 权 交 给 这 个 程序 ,并 为 其 分 配 相应 的 系 
统 资源 ,如 内 存 , 从 而 使 之 能 够 完成 用 户 的 需求 。 因 此 ,程序 执行 的 过 程 对 用 户 是 透明 的 。 
而 计算 机 病毒 是 非法 程序 ,正常 用 户 是 不 会 明知 是 病毒 程序 ,而 故意 调用 并 执行 的 。 计 算 机 
病毒 具有 正常 程序 的 一 切 特性 :可 存储 性 、 可 执行 性 。 它 隐藏 在 合法 的 程序 或 数据 中 , 当 用 
户 运行 正常 程序 时 ,病毒 伺机 窃取 到 系统 的 控制 权 , 得 以 抢先 运行 ,然而 此 时 用 户 还 认为 在 
执行 正常 程序 。 

2. 隐蔽 性 

计算 机 病毒 是 一 种 具有 很 高 编程 技巧 .短小精悍 的 可 执行 程序 。 它 通常 粘 附 在 正常 程 
序 、 磁 盘 引导 扇 区 中 ,或 者 磁盘 上 标 为 坏 簇 的 扇 区 中 ,以 及 一 些 空闲 概率 较 大 的 扇 区 中 ,这 是 
它 的 非法 可 存储 性 。 病 毒 想方设法 隐藏 自身 ,就 是 为 了 防止 用 户 察觉 。 

3. 传染 性 

传染 性 是 计算 机 病毒 最 重要 的 特征 ,是 判断 一 段 程序 代码 是 否 为 计算 机 病毒 的 依据 。 
病毒 程序 一 旦 侵入 计算 机 系统 ,就 开始 搜索 可 以 传染 的 程序 或 者 磁 介 质 , 然 后 通过 自我 复制 
迅速 传播 。 由 于 目前 计算 机 网 络 日 益 发 达 , 计 算 机 病毒 可 以 在 极 短 的 时 间 内 通过 Internet 
传 遍 世 界 。 

4. 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 媒体 而 寄生 的 能 力 , 这 种 媒体 称 为 计算 机 病毒 的 宿主 。 依 
靠 病 毒 的 寄生 能 力 ,病毒 传染 合法 的 程序 和 系统 后 ,不 立即 发 作 , 而 是 悄悄 隐藏 起 来 ,然后 在 
用 户 不 察觉 的 情况 下 进行 传染 。 这 样 ,病毒 的 潜伏 性 越 好 , 它 在 系统 中 存在 的 时 间 也 就 越 
长 ,病毒 传染 的 范围 也 越 广 ,其 危害 性 也 越 大 。 
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5. 表现 性 或 破坏 性 

无 论 何 种 病毒 程序 ,一 旦 侵入 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 。 即 使 
不 直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 资源 (如 占用 内 存 空间 、 磁 盘存 储 空间 及 系统 
运行 时 间 等 )。 而 绝 大 多 数 病毒 程序 要 显示 一 些 文字 或 图 像 , 影 响 系统 的 正常 运行 。 还 有 一 
些 病毒 程序 删除 文件 ,加 密 磁盘 中 的 数据 ,甚至 摧毁 整个 系统 和 数据 ,使 之 无 法 恢复 ,造成 无 
可 挽回 的 损失 。 因 此 ,病毒 程序 的 副作用 轻 则 降低 系统 的 工作 效率 , 重 则 导致 系统 骨 溃 、 数 
据 丢失 。 病 毒 程序 的 表现 性 或 破坏 性 体现 了 病毒 设计 者 的 真正 意图 。 

6. 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 满 足 其 触发 条 件 或 者 激活 病毒 的 传染 机 
制 , 即 可 使 之 传染 ,也 可 以 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 是 一 种 条 件 的 控 
制 ,病毒 程序 可 以 依据 设计 者 的 要 求 ,在 一 定 条件 下 实施 攻击 。 这 个 条 件 可 以 是 融入 特定 字 
符 \ 使 用 特定 文件 、 某 个 特定 日 期 或 特定 时 刻 , 或 者 是 病毒 内 置 的 计数 器 达到 一 定 次 数 等 。 


5.2.2 计算 机 病毒 的 传播 途径 


传染 性 是 计算 机 病毒 最 重要 的 特征 ,计算 机 病毒 从 已 被 感染 的 计算 机 到 未 被 感染 的 计 
算 机 ,必须 通过 某 些 方式 来 进行 传播 ,最 常见 的 就 是 以 下 两 种 方式 。 

第 一 种 : 通过 移动 存储 设备 来 进行 传播 ,包括 软盘 、 光 盘 、 移 动 硬盘 和 U 盘 等 。 

在 计算 机 应 用 早期 ,计算 机 应 用 较 简 单 , 许 多 文件 都 是 通过 软盘 来 进行 相互 复制 ,安装 ， 
这 时 ,软盘 就 是 最 好 的 计算 机 病毒 的 传播 途径 。 光 盘 容 量 大 、 存 储 内 容 多 ,所 以 大 量 的 病毒 
有 可 能 藏匿 在 其 中 。 对 于 只 读 光盘 ,不 能 进行 写 操作 ,其 上 的 病毒 更 加 不 能 查 杀 。 目 前 , 盗 
版 光盘 泛滥 ,这 给 病毒 的 传染 带 来 了 极 大 的 便利 。 加 之 现在 广泛 使 用 移动 硬盘 和 U 盘 来 交 
换 数据 ,因此 这 些 存储 设备 也 就 成 了 计算 机 病毒 的 主要 寄生 的 “温床 ”。 

第 二 种 : 通过 网 络 来 进行 传播 。 

毫 无 疑问 ,网络 是 现在 计算 机 病毒 传播 的 重要 途径 。 人 们 平时 浏览 网 页 .下 载 文件 . 收 
发 电子 邮件 ,访问 BBS 等 ,都 可 能 使 计算 机 病毒 从 一 台 计 算 机 传播 到 网 络 上 的 其 他 计算 机 。 


5.3 计算 机 病毒 的 分 类 


计算 机 病毒 的 种 类 有 很 多 ,按照 计算 机 病毒 的 特征 可 以 将 计算 机 病毒 的 分 为 许多 种 。 

1. 按 寄生 方式 分 

按 寄生 方式 分 可 分 为 引导 型 病毒 ,文件 型 病毒 和 混合 型 病毒 。 

引导 型 病毒 是 指 寄 生 在 磁盘 引导 区 或 主 引 导 区 的 计算 机 病毒 。 此 种 病毒 利用 系统 引导 
时 ,不 对 主 引导 区 的 内 容 正确 与 否 进 行 判 别 , 在 引导 型 系统 的 过 程 中 侵入 系统 , 驻 留 内 存 , 监 
视 系统 运行 ,待机 传染 和 破坏 。 按 照 引 导 型 病毒 在 硬盘 上 的 寄生 位 置 又 可 细 分 为 主 引 导 记 
录 病 毒 和 分 区 引导 记录 病毒 。 主 引导 记录 病毒 感染 硬盘 的 主 引 导 区 ,如 大 麻 病毒 .2708 病毒 、 
火炬 病毒 等 ; 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记录 ,如 小 球 病毒 .Girl 病毒 等 。 

文件 型 病毒 是 指 能 够 寄生 在 文件 中 的 计算 机 病毒 。 这 类 病毒 程序 感染 可 执行 文件 或 数据 
文件 。 如 1575/1591 病毒 .848 病毒 感染 . com 和 . exe 文件 , Macro/Concept, Macro/ Atoms 
等 宏 病 毒 感染 . doc 文件 。 


混合 型 病毒 是 指 具 有 引导 型 病毒 和 文件 型 病毒 寄生 方式 的 计算 机 病毒 。 这 种 病毒 扩大 
了 病毒 程序 的 传染 途径 , 它 既 感染 磁盘 的 引导 记录 ,又 感染 可 执行 文件 。 当 感染 有 此 种 病毒 
的 磁盘 用 于 引导 系统 或 调用 执行 染 毒 文件 时 ,病毒 就 会 被 激活 。 因 此 在 检测 、 清 除 混合 型 病 
毒 时 ,必须 全 面 彻底 地 根治 。 如 果 只 发 现 该 病毒 的 一 个 特性 ,把 它 只 当做 引导 型 或 文件 型 病 
毒 进行 清除 ,虽然 好 像 是 清除 了 ,但 还 留 有 隐患 ,这 种 经 过 消毒 后 的 “洁净 ”系统 更 赋 有 攻击 
性 。 常 见 的 这 种 类 型 的 病毒 有 Flip 病毒 .新 世纪 病毒 .One. half 病毒 等 。 

2. 按 破 坏 性 分 

按 破坏 性 分 可 分 为 良性 病毒 和 恶性 病毒 。 

良性 病毒 是 指 那 些 只 是 为 了 表现 自身 ,并 不 彻底 破坏 系统 和 数据 ,但 会 大 量 占用 CPU 
时 间 ,增加 系统 开销 ,降低 系统 工作 效率 的 一 类 计算 机 病毒 。 这 种 病毒 多 数 是 恶作剧 者 的 产 
物 , 他 们 的 目的 不 是 为 了 破坏 系统 和 数据 ,而 是 为 了 让 使 用 感染 有 病毒 的 计算 机 用 户 了 解 病 
毒 设计 者 的 编程 技术 。 这 类 病毒 常见 的 有 小 球 病毒 .1575/1591 病毒 .救护 车 病毒 . 扬 基 病 
EE, Dabi 病毒 等 。 还 有 一 些 人 利用 病毒 的 这 些 特点 宣传 自己 的 政治 观点 和 主张 ,也 有 一 些 
病毒 设计 者 在 其 编制 的 病毒 发 作 时 进行 人 身 攻 击 。 

恶性 病毒 是 指 那些 一 旦 发 作 ,就 会 破坏 系统 或 数据 ,造成 计算 机 系统 瘫痪 的 一 类 计算 机 
病毒 。 这 类 病毒 常见 的 有 黑色 星期 五 病毒 .火炬 病毒 . 米 开 朗 ， 基 罗 病 毒 等 。 这 种 病毒 的 危 
害 性 极 大 ,有 些 病 毒 发 作 后 可 以 给 用 户 造成 不 可 挽回 的 损失 。 


5.4 计算 机 病毒 的 破坏 行为 及 防御 


5.4.1 计算 机 病毒 的 破坏 行为 


计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 能 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病毒 
作者 的 主观 愿望 和 其 所 具有 的 技术 能 量 。 数 以 万 计 .不断 发 展 扩张 的 病毒 ,其 破坏 行为 千 奇 
百 怪 。 根 据 常 见 的 病毒 特征 ,可 以 把 病毒 的 破坏 目标 和 攻击 部 位 归纳 如 下 。 

1. 攻击 系统 数据 区 

攻击 部 位 包括 硬盘 主 引 导 扇 区 .Boot B IX FAT 表 、 文 件 目 录 。 一 般 来 说 ,攻击 系统 数 
据 区 的 病毒 是 恶性 病毒 , 受 损 的 数据 不 易 恢复 。 

2. 攻击 文件 

病毒 对 文件 的 攻击 方式 很 多 ,一 般 包 括 删 除 、 改 名 、 替 换 内 容 、 丢 失 部 分 程序 代码 、 内 容 
颠倒 . 写 人 时 间 空 白 、 假 冒 文件 .丢失 文件 簇 、 丢 失 数据 文件 等 。 

3. 攻击 内 存 

内 存 是 计算 机 的 重要 资源 ,也 是 病毒 经 常 攻击 的 目标 。 病 毒 额外 地 占用 和 消耗 系统 的 
内 存 资源 ,可 以 导致 一 些 程序 受阻 ,甚至 无 法 正常 运行 。 

病毒 攻击 内 存 的 方式 有 占用 大 量 内 存 \ 改 变 内 存 容量 、 禁 止 分 配 内 存 、 蛋 食 内 存 。 

4. 干扰 系统 运行 

病毒 会 干扰 系统 的 正常 运行 ,以 此 达到 自己 的 破坏 行为 。 一 般 表 现 为 不 执行 命令 ,干扰 
内 部 命令 的 执行 ,虚假 报警 . 打 不 开 文件 、 内 部 栈 溢出 、 占 用 特殊 数据 区 、 时 钟 倒转 、 重 启动 、 
死机 强制 游戏 ,扰乱 串 并 行 口 等 。 
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5. 速度 下 降 

病毒 激活 时 ,其 内 部 的 时 间 延 迟 程序 启动 。 在 时 钟 中 载 信 了 时 间 的 循环 计数 ,迫使 计算 
机 空转 ,计算 机 速度 明显 下 降 。 

6. 攻击 磁盘 

攻击 磁盘 表现 为 攻击 磁盘 数据 \ 不 写 盘 、 写 操作 变 读 操作 、 写 盘 时 丢 字 节 。 

7. 扰乱 屏幕 显示 

病毒 扰乱 屏幕 显示 一 般 表 现 为 字符 跌落 环绕、 倒置. 显示 前 一 屏 、 光 标 下 跌 、 滚 屏 、 拌 
动 . 乱 写 , 吃 字符 等 。 

8. 干扰 键盘 操作 

病毒 干扰 键盘 操作 主要 表现 为 响 铃 . 封 锁 键盘 、. 换 字 、 抹 掉 缓 存 区 字符 .重复 .输入 率 
乱 等 。 

9. 使 喇叭 发 声 

许多 病毒 运行 时 ,会 使 计算 机 的 喇叭 发 出 响声 。 有 的 病毒 作者 让 病毒 演奏 旋律 优美 的 
世界 名 曲 ,在 高 雅 的 曲调 中 抹 掉 人 们 的 信息 财富 。 一 般 表 现 为 演奏 曲子 .警笛 声 .炸弹 噪声 、 
n8 m| , n ng p mii m pig 

10. 攻击 CMOS 

在 机 器 的 CMOS 中 保存 着 系统 的 重要 数据 ,如 系统 时 钟 、 磁 盘 类 型 内存 容量 等 ,并 具 
有 校 验 和 。 有 些 病毒 激活 时 ,能够 对 CMOS 进行 写 入 动作 ,破坏 系统 CMOS 中 的 数据 。 

11. 干扰 打印 机 

干扰 打印 机 主要 表现 为 假 报警 .间断 性 打印 .更换 字符 。 


5.4.2. 计算 机 病毒 的 防御 


怎样 有 效 地 防御 计算 机 病毒 呢 ? 建议 用 户 在 自己 的 计算 机 上 进行 以 下 操作 : 

(1) 在 计算 机 上 安装 杀毒 软件 和 防火 墙 软件 ,这 里 以 瑞星 杀毒 软件 和 瑞星 防火 墙 软件 
为 例 。 

(2) 及 时 升级 杀毒 软件 ,尤其 在 病毒 盛行 期 间或 者 病毒 突 发 的 非常 时 期 ,这样 做 可 以 保 
证 用 户 的 计算 机 受到 持续 的 保护 。 

CD 使 用 流行 病毒 专 杀 工具 。 例 如 ,一 旦 暴发 恶性 病毒 ,瑞星 公司 会 第 一 时 间 在 瑞星 网 
站 (http://www. rising. com. cn) 上 提供 专 杀 工具 下 载 . 针 对 性 强 , 速 度 快 ,防止 病毒 扩散 。 

(4) 开启 杀毒 软件 的 实时 监控 中 心 功能 ,系统 启动 后 立即 启用 计算 机 监控 功能 ,防止 病 
毒 侵 入 计算 机 。 例 如 ,瑞星 监控 中 心 是 用 户 实 时 的 、 多 层级 的 病毒 防御 体系 ,关闭 瑞星 监控 
中 心 将 大 大 增加 病毒 侵入 的 风险 ,建议 开启 瑞星 监控 中 心 并 设置 密码 ,以 防止 别人 关闭 。 

(5) 定期 全 面 扫描 系统 (建议 个 人 计算 机 每 周一 次 ,服务 器 每 天 深夜 全 面 扫描 一 次 系 
统 ) 。 

(6) 复制 任何 文件 到 本 机 时 ,建议 使 用 杀毒 软件 的 右键 查 杀 功能 进行 专门 查 杀 。 

(7) 以 纯 文 本 方式 阅读 信件 ,不 要 轻易 打开 电子 邮件 附件 ,建议 启动 瑞星 杀毒 软件 邮件 
监控 功能 。 

(8) 从 互联 网 下 载 任何 文件 时 , 需 检查 该 网 站 是 否 具 有 安全 认证 。 在 通过 即时 通信 软 
件 ( 如 QQ MSN Messenger) 传 送 文件 或 者 从 互联 网 下 载 文 件 时 ,建议 使 用 杀毒 软件 嵌入 式 


杀毒 工具 ,接收 文件 后 自动 调用 杀毒 软件 扫描 病毒 。 

(9) 不 要 访问 某 些 可 能 含有 恶意 脚本 或 者 蠕虫 病毒 的 网 站 ,建议 启用 杀毒 软件 网 页 监 
控 功 能 。 

(10) 及 时 获得 反 病 毒 预报 警示 。 例 如 ,在 病毒 暴发 前 ,用 户 可 通过 浏览 瑞星 反 病 毒资 
讯 网 站 (http://www. rising. com. cn) 瑞星 杀毒 软件 主 界面 中 的 信息 中 心 或 者 手机 短信 来 
获得 病毒 暴发 的 预报 信息 。 

(11) 建议 使 用 Windows Update 更 新 操作 系统 ,或 者 使 用 杀毒 软件 系统 漏洞 扫描 工具 
及 时 下 载 并 安装 补丁 程序 。 

(12) 使 用 防火 墙 软件 ,防止 黑客 程序 侵入 计算 机 。 


5.4.3 如何 降低 由 病毒 破坏 所 引起 的 损失 


降低 由 病毒 破坏 所 引起 的 损失 主要 有 以 下 两 种 方法 : 

(1) 定期 备份 硬盘 数据 。 万 一 硬盘 数据 损坏 或 丢失 ,可 使 用 杀毒 软件 的 硬盘 数据 备份 
功能 恢复 数据 。 

(2) 用 户 可 以 通过 邮件 、 电 话 、 传 真 等 方式 与 杀毒 软件 的 客户 服务 中 心 联系 ,由 他 们 的 
技术 中 心 提供 专业 的 服务 ,尽量 减少 由 病毒 破坏 造成 的 损失 。 


5.4.4 计算 机 病毒 相关 法 律 法 规 


为 了 保护 计算 机 信息 系统 的 安全 ,促进 计算 机 的 应 用 和 发 展 ,保障 社会 主义 现代 化 建设 
的 顺利 进行 ,制定 了 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》。 

为 了 加 强 对 计算 机 病毒 的 预防 和 治理 ,保护 计算 机 信息 系统 安全 ,保障 计算 机 的 应 用 与 
发 展 ,根据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 的 规定 ,制定 了 《计算 机 病毒 防 
治 管理 办 法 》。 

为 了 加 强 计算 机 信息 系统 安全 专用 产品 的 管理 ,保证 安全 专用 产品 的 安全 功能 ,维护 计 
算 机 信息 系统 的 安全 ,根据 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 第 十 六 条 的 规 
定 , 制 定 了 《计算 机 信息 系统 安全 专用 产品 检测 和 销售 许可 证 管理 办 法 》。 


5.5 常见 病毒 的 查 杀 


5.5.1 CIH 病毒 的 查 杀 


CIH 病毒 最 早 于 1998 年 6 月 初 在 台湾 被 发 现 , 它 是 一 位 名 叫 陈 盘 豪 (Chen Ing. Halu) 
的 台湾 大 学 生 所 编写 的 ,由 于 其 名 字 的 第 一 个 字母 分 别 为 C、I、H, 所 以 称 为 CIH 病毒 。 
CIH 病毒 的 载体 是 一 个 名 为 *ICQ 中 文 Ch. at 模块 ”的 工具 ,并 以 热门 盗版 光盘 游戏 如 “证 
墓 奇兵 ”或 Windows 95/98 为 媒介 ,经 互联 网 中 的 网 站 互相 转载 ,使 其 迅速 传播 。 目 前 传播 
的 主要 途径 是 Internet 和 电子 邮件 。 

CIH 病毒 属 文件 型 病毒 , 它 主 要 感染 Windows 95/98 系统 下 的 EXE 文件 。 当 一 个 染 
毒 的 EXE 文件 被 执行 ,CIH 病毒 便 驻 留 在 内 存 , 当 其 他 程序 访问 时 可 对 它们 进行 感染 。 其 
发 展 过 程 经 历 了 vl. 0v1. 1.v1. 2:v1. 3.v1. 4 总 共 5 个 版 本 ,目前 较为 流行 的 是 v1. 2 版本， 
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在 此 期 间 , 同 时 产生 了 不 下 十 个 的 变种 ,但 是 没有 流行 起 来 的 迹象 。 

CIH 病毒 属 恶 性 病毒 , 当 其 发 作 条 件 成 熟 时 ,将 破坏 硬盘 数据 ,同时 有 可 能 破坏 BIOS 
程序 。 其 发 作 特征 是 , 某 些 主板 上 的 Flash ROM 中 的 BIOS 信息 将 被 清除 。 

瑞星 公司 提供 了 针对 硬盘 的 CIH 病毒 修复 工具 ,用 户 可 以 到 相关 的 网 站 上 下 载 此 修复 
工具 ,瑞星 公司 提供 的 本 程序 只 针对 CIH 病毒 破坏 的 硬盘 进行 修复 ,对 于 正常 的 硬盘 不 要 
使 用 此 程序 处 理 。 此 程序 不 能 保证 修复 所 有 硬盘 数据 ,也 不 能 保证 修复 后 的 数据 是 完全 正 
确 的 ,只 是 尽 可 能 地 修复 用 户 数据 。 此 程序 只 修复 第 一 块 硬盘 ,如 果 有 多 块 硬盘 , 需 将 其 他 
硬盘 摘 下 ,一 块 一 块 地 对 其 进行 修复 。 

修复 的 操作 步骤 如 下 : 

CD 该 软件 包括 两 个 程序 : ANTICIH. EXE 和 RAV. REC。 这 两 个 程序 必须 复制 到 软 
盘 的 同一 路 径 下 。 

(2) 用 无 毒 的 软盘 启动 计算 机 。 

(3) 执行 ANTICIH. EXE, 该 程序 将 对 硬盘 进行 扫描 ,以 获得 有 关 数 据 。 

(4) 扫 描 完 成 后 ,程序 将 显示 如 下 提示 。 

Hard disk scanned result: 

SIZE CYLS HEAD SECTOR 

XXXX XXXX XXXX XXXX 

Partition: C: D: 

Drive C: FAT32 

Recover partition table (Y/N)? 

注意 : SIZE 是 硬盘 的 大 小 ,以 MB 为 单位 ; CYLS 是 硬盘 柱 面 数 ,HEAD 是 硬盘 的 磁 
头 数 ,SECTOR 是 每 道 扇 区 数 。 对 于 大 于 8GB 的 硬盘 ,只 显示 硬盘 大 小 。Partition 是 找到 
的 分 区 ; Drive C: 用 于 是 说 明 C 盘 的 格式 ,是 FATI6 或 FAT32。 

针对 不 同 的 硬盘 ,提示 信息 不 一 样 ,此 时 确认 是 否 要 修复 主 引 导 记 录 , 要 修复 请 按 Y 
键 ,否则 按 N 键 ,本 程序 将 退出 。 如 果 按 了 Y 键 ,此 程序 将 修复 主 引导 记录 ,程序 会 进一步 
Tn: 

Recover drive C: (Y/N)? 


如 果 修 复 C 盘 , 请 按 Y 键 ,否则 按 N 键 ,程序 将 退出 。 
如 果 C 盘 是 FAT16, 而 且 破 坏 比较 严重 ,修复 过 程 可 能 需要 很 长 时 间 , 需 耐心 等 待 。 修 
复 完成 后 , 需 重启 系统 。 


5.5.2 £X dd 


宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ,其 中 的 
宏 就 会 被 执行 ,于 是 宏 病 毒 就 会 被 激活 ,并 转移 到 计算 机 上 , 驻 留 在 Normal 模板 上 。 从 此 
以 后 ,所 有 自动 保存 的 文档 都 会 感染 上 这 种 宏 病 毒 。 如 果 其 他 用 户 打 开 了 感染 病毒 的 文档 ， 
宏 病 毒 又 会 转移 到 他 的 计算 机 上 。 目 前 发 现 的 几 种 主要 宏 病毒 有 Wazzu、Concept、13 号 病 
¥ Nuclear ,July. killer( 又 名 “七 月 杀手 ”) 。 

有 些 宏 病 毒 对 用 户 进 行 骚扰 ,但 不 破坏 系统 ,比如 ,有 一 种 宏 病 毒 在 每 月 的 13 日 发 作 时 
会 显示 出 5 个 数字 连 乘 的 心算 数学 题 ; 有 些 宏 病 毒 可 使 打印 中 途中 断 或 打印 出 混乱 信息 ， 


如 Nuclear, Kompu 等 属 此 类 ; 有 些 宏 病毒 将 文档 中 的 部 分 字符 、 文 本 进行 替换 ; 但 也 有 些 
“ 宏 病毒 " 极 具 破 坏 性 ,如 MDMA. A, 这 种 病毒 既 能 感染 中 文 版 Word, 又 能 感染 英文 版 
Word, 发 作 时 间 是 每 月 的 1 日 。 此 病毒 在 不 同 的 Windows 平台 上 有 不 同 的 破坏 性 , 轻 则 删 
除 帮 助 文件 , 重 则 删除 硬盘 中 的 所 有 文件 。 另 外 ,还 有 一 种 双 栖 复合 型 宏 病毒 ,发 作 时 可 使 
计算 机 瘫痪 。 

1. 宏 病毒 的 预防 

宏 病 毒 的 预防 要 注意 以 下 两 点 : 

CD 将 常用 的 Word 模板 文件 改 为 只 读 属 性 ,可 防止 Word 系统 被 感染 ; DOS 下 的 
autoexec, bat 和 config. sys 文件 最 好 也 都 设 为 只 读 属 性 。 

(2) 因为 宏 病毒 是 通过 自动 执行 宏 的 方式 来 激活 、 进 行 传染 破坏 的 ,所 以 只 要 将 自动 执 
行 宏 功 能 禁止 掉 , 此 时 即使 有 宏 病 毒 存 在 ,但 无 法 被 激活 ,也 无 法 发 作 、 传 染 、 破 坏 , 这 样 就 起 
到 了 防毒 的 效果 。 

2. 宏 病 毒 的 制作 以 及 查 杀 实例 

下 面 通过 简单 制作 一 个 宏 病 毒 让 大 家 对 实际 存在 的 宏 病 毒 有 一 个 了 解 ,其 具体 制作 步 
又 如 下 : 

A) 打开 Word 文字 处 理 软 件 , 在 窗口 菜单 栏 中 选择 [插入 】>【 对 象 ] 命 令 , 在 弹出 的 
【对 象 ] 对 话 框 中 ,选择 [对象 类 型 列表 框 中 的 【 包 】 选 项 , 单 击 【 确 定 ] 按 钮 ,如 图 5.1 所 示 。 


FEO “由 文件 创建 中 


对 象 类 型 D) 
RealPlayer G2 Control ^ 
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System Monitor Control 
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Windows Media Player 
pr E] 显示 为 图 标 (A) 
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结果 
mi) 在 您 的 文档 中 插入 一 个 新 “ 包 ” 对 象 . 


5.1 设置 对 象 类 型 


(2) 在 如 图 5. 2 所 示 的 [对 象 包装 程序 ] 窗 口中 选择 [编辑 ]>【 命 令 行 ] 命 令 , 在 弹出 的 
命令 行 区 域 中 输入 “ping 一 t localhost 一 1 60000”, 完 成 后 单 击 【 确 定 ] 按 钮 ,那么 这 条 命令 在 
永久 地 ping 自己 的 计算 机 ,并 且 每 次 发 出 的 ping 包 都 是 60 000 个 字 节 ,如 此 就 会 形成 一 个 
DoS 攻击 。 黑 客 们 编写 的 宏 病 毒 往往 比 这 个 厉害 ,比如 格式 化 硬盘 的 病毒 等 。 

首 对 象 也 装 程序 - C:\Documents and Settings\... EBR) 
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G) 在 如 图 5. 2 所 示 的 【对象 包 装 程序 窗口 中 , 单 击 【 插 入 图 标 按 钮 ,为 该 命令 行 选 个 
有 诱惑 力 的 图 标 。 在 关闭 【对 象 包装 程序 窗口 后 ,在 文档 的 相关 位 置 便 出 现 了 一 个 和 命令 
关联 的 图 标 ,如 图 5. 3 所 示 ,这 样 一 个 宏 病毒 就 制作 成 功 了 。 


G NÆ 了 icrosoft Ford 文档 - doc - Hicrosoft Ford 
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图 5.3 制作 完成 的 Word 中 的 宏 病毒 


真正 的 宏 病毒 不 是 这 样 制作 的 ,真正 的 病毒 会 和 宏 指令 相关 联 ,如 FileOpen, FileSave, 
FileSaveAs 和 FilePrint 等 命令 ,其 内 编写 了 可 使 系统 瘫 疾 , 能 感染 每 一 个 Word 文件 的 代 
码 , 并 可 以 自动 保存 为 模板 文件 。 只 要 用 户 打 开 一 次 染 毒 的 Word 文件 , 则 以 后 所 有 的 
Word 文件 都 会 被 感染 ,看 起 来 再 正常 不 过 的 一 个 正规 文档 文件 ,很 可 能 就 暗藏 着 宏 病毒 。 
刚才 制作 的 宏 病 毒 运 行 后 的 结果 如 图 5.4、 图 5.5、 图 5.6 所 示 。 


Microsoft Office Word 


AN 悠 即将 激活 一 懂 入 对 象 ， 它 可 能 带 有 病毒 ， 或 可 能 会 损害 您 的 计算 机 ， 所 以 一 定 要 确定 它 的 来 源 可 靠 。 是 否 继续 ? 


图 5.4 Word 中 的 宏 病毒 运行 结果 1 


您 要 打开 此 文件 吗 ? 
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图 5.5 Word 中 的 宏 病毒 运行 结果 2 
3. 宏 病毒 的 清除 


清除 宏 病毒 可 通过 手工 或 专业 杀毒 软 进行 ,分 别 如 下 。 
COD FT.: 以 Word 为 例 ,最 简单 的 就 是 禁止 Word 执行 宏 指令 。 方 法 是 ,在 Word fi 


R t ins TIL-64 
[Reply fron .8.8.1: by 59988 tine-ins TIL-64 


图 5.6 Word 中 的 宏 病毒 运行 结果 3 


口 的 菜单 栏 中 选择 [工具 】>【 宏 】>【 安 全 性 命令, 在 弹出 的 如 图 5. 7 的 所 示 的 对 话 框 中 将 
其 安全 性 设置 为 高 ,这 样 ,未 经 系统 签署 的 宏 指 令 将 会 被 Word 禁止 执行 ,从 而 不 利于 宏 病 


毒 的 运行 。 
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* 只 人 允许 运行 可 靠 来源 签 署 的 宏 ， 未 经 签署 的 宏 会 自动 职 消 
中 。 修 可 以 选择 是 否 运行 可 能 不 安全 的 宏 W. 
É eem: "EU: E 


已 安装 病毒 检查 程序 。 


图 5.7 【安全 性 ] 对 话 框 


CD 使 用 专业 杀毒 软件 : 目前 ,杀毒 软件 公司 都 具备 清除 完 


当 有 可 能 破坏 文件 的 完整 性 时 ,建议 还 是 手工 清除 
5.5.3 蠕虫 病毒 的 查 条 


宏 病 毒 的 能 力 , 当 然 也 只 能 对 


已 知 的 宏 病 毒 进行 检查 和 清除 ,对 于 新 出 现 的 病毒 或 病毒 的 变种 则 可 能 不 能 正常 地 清除 。 


蠕虫 病毒 和 一 般 的 计算 机 病毒 有 着 很 大 的 区 别 。 对 于 这 种 病毒 ,现在 还 没有 一 个 成 套 
的 理论 体系 ,但 是 一 般 认为 ,蠕虫 病毒 是 一 种 通过 网 络 传播 的 恶性 病毒 , 它 除 了 具有 病毒 的 
- 些 共 性 外 ,还 具有 自己 的 一 些 特征 。 例 如 不 利用 文件 寄生 (有 的 只 存在 于 内 存 中 ) ,对 网 络 
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造成 拒绝 服务 ,以 及 与 黑客 技术 相 结 合 等 。 蠕 虫 病毒 主要 的 破坏 方式 是 大 量 地 复制 自身 , 然 
后 在 网 络 中 传播 ,严重 地 占用 有 限 的 网 络 资源 ,最 终 引 起 整个 网 络 的 瘫痪 ,使 用 户 不 能 通过 
网 络 进行 正常 的 工作 。 每 一 次 蠕虫 病毒 的 暴发 都 会 给 全 球 经 济 造成 巨大 损失 ,因此 它 的 危 
害 性 是 十 分 巨大 的 。 有 一 些 蠕虫 病毒 还 具有 更 改 用 户 文件 .将 用 户 文 件 自动 作为 附件 转发 
的 功能 ,更 是 严重 危害 用 户 的 系统 安全 。 

1. 蠕虫 病毒 常见 的 传播 方式 

蠕虫 病毒 常见 的 传播 方式 如 下 。 

CD 利用 系统 漏洞 传播 : 蠕虫 病毒 利用 计算 机 系统 的 设计 缺陷 ,通过 网 络 主动 地 将 自 
己 扩散 出 去 。 

(2) 利用 电子 邮件 传播 : 蠕虫 病毒 将 自己 隐藏 在 电子 邮件 中 , 随 电 子 邮 件 扩 散 到 整个 
网 络 中 ,这 也 是 个 人 计算 机 被 感染 的 主要 途径 。 

2. 蠕虫 病毒 感染 的 对 象 

蠕虫 病毒 一 般 不 寄生 在 别 的 程序 中 ,而 多 作为 一 个 独立 的 程序 存在 。 它 感染 的 对 象 是 
网 络 中 的 所 有 的 计算 机 ,并 且 这 种 感染 是 主动 进行 的 ,所 以 总 是 让 人 防不胜防 。 在 现今 全 球 
网 络 高 度 发 达 的 情况 下 ,一 种 蠕虫 病毒 在 几 个 小 时 之 内 蔓延 全 球 并 不 是 什么 困难 的 事情 。 

现在 流行 的 蠕虫 病毒 主要 有 尼 姆 达 、. 红 色 代 码 、 冲 击 波 、 震 荡 波 ,求职 信 , 以 及 2007 年 最 
为 流行 的 熊猫 烧香 。 本 书 以 冲击 波 和 熊猫 烧香 为 例 来 讲解 蠕虫 病毒 的 危害 及 如 何 清除 。 

3. 冲击 波 CWorm. Blaster) 病 毒 的 介绍 

病毒 运行 时 会 不 停 地 利用 IP 扫描 技术 寻找 网 络 上 系 E 
tJ Windows 2000 或 Windows XP 的 计算 机 ,找到 后 就 @ ; 
利用 DCOM RPC 缓冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ， ee 
病毒 体 将 会 被 传送 到 对 方 计算 机 中 进行 感染 ,使 系统 操作 ma 
异常 ,不 停 地 重启 ,甚至 导致 系统 崩溃 ,如 图 5.8 所 示 。 另 Nur orc aiu 
外 ,该 病毒 还 会 对 微软 的 一 个 升级 网 站 进行 拒绝 服务 攻 | 
击 , 导 致 该 网 站 堵塞 ,使 用 户 无 法 通过 该 网 站 升级 系统 。 
该 病毒 还 会 使 被 攻击 的 系统 丧失 更 新 该 漏洞 补丁 的 能 力 。 ”图 5.8 冲击 波 病毒 的 症状 

4. 冲击 波 (Worm. Blaster) 病 毒 的 防范 与 查 杀 

具体 步骤 如 下 : 

CD 用 户 可 以 先进 入 微软 网 站 ,下 载 相应 的 系统 补丁 ,给 系统 打上 补丁 。 每 个 Windows 
都 有 相应 的 版 本 ,下 面 是 一 个 Windows XP 的 32 位 版 本 的 下 载 补丁 地 址 。 

http://microsoft. com/downloads/details. aspx? Familyld — 2354406C. C5B6. 44AC. 
9532. 3DE40F69C0748-displaylang— en 

(2) 病毒 运行 时 会 建立 一 个 名 为 BILLY 的 互 斥 量 , 使 病毒 自身 不 重复 进入 内 存 , 并 且 
病毒 在 内 存 中 建立 一 个 名 为 msblast 的 进程 ,用 户 可 以 用 任务 管理 器 将 该 病毒 进程 终止 。 

(3) 病毒 运行 时 会 将 自身 复制 为 %systemdir%\msblast. exe, 用 户 可 以 手动 删除 该 病 
毒 文件 。 

注意 : %systemdir% 是 一 个 变量 , 它 指 的 是 操作 系统 安装 目录 中 的 系统 目录 ,默认 是 
“C:\Windows\system” 或 “C:\Winnt\system32”。 

CD 病毒 会 修改 注册 表 的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ 


WindowsNVCurrentVersionNRun 项 ,在 其 中 加 入 "windows auto update" — " msblast. exe" , 进 
行 自 启动 ,用 户 可 以 手工 清除 该 键 值 。 

O) 病毒 会 用 到 135、4444、69 等 端口 ,用 户 可 以 使 用 Windows 防火 墙 软件 将 这 些 端口 
禁止 或 者 使 用 TCP/IP 筛选 功能 禁止 这 些 端口 。 

(6) 用 户 也 可 以 使 用 瑞星 专 杀 工具 来 进行 查 杀 ,图 5. 9 所 示 就 是 [RPC 漏洞 蠕虫 专用 查 
杀 工 具 ] 人 窗口 。 


C KPC 漏洞 蠕虫 考 用 查 杀 工具 
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5.9 [RPC 漏洞 蠕虫 专用 查 杀 工 具 徐 口 


5. 熊猫 烧香 病毒 的 介绍 

熊猫 烧香 (worm. nimaya) 又 称 武汉 男生 或 者 尼 姆 亚 , 是 一 种 蠕虫 病毒 ,是 由 Delphi 编 
程 工具 编写 的 ,能 终止 大 量 的 反 病毒 软件 和 防火 墙 软件 。 病 毒 会 删除 扩展 名 为 . gho 的 文 
件 , 使 用 户 无 法 使 用 Ghost 软件 恢复 操作 系统 。 熊 猫 烧香 病毒 可 感染 系统 的 . exe . com. pif 
. src . html . asp 文件 ,添加 病毒 网 址 ,导致 用 户 一 打开 这 些 网 页 文件 ,IE 浏览 器 就 会 自动 连 
接 到 指定 的 病毒 网 址 中 下 载 病毒 ,并 在 硬盘 各 个 分 区 下 生成 文件 autorun. inf 和 setup. exe。 
该 病毒 可 以 通过 U 盘 和 移动 硬盘 等 方式 进行 传播 ,并 且 利 用 Windows 系统 的 自动 播放 功 
能 来 运行 ,搜索 硬盘 中 的 . exe 可 执行 文件 并 感染 ,感染 后 的 文件 图 标 变 成 “熊猫 烧香 ”图 案 。 
熊猫 烧香 病毒 还 可 以 通过 共享 文件 夹 .系统 弱 口令 等 多 种 方式 进行 传播 。 这 是 中 国 近年 来 
发 生 的 比较 严重 的 一 次 蠕虫 病毒 发 作 ,影响 了 较 多 公司 ,造成 了 较 大 的 损失 。 图 5. 10 所 示 
为 感染 病毒 后 的 熊猫 烧香 图 标 。 

6. 熊猫 烧香 病毒 的 防范 

防范 熊猫 烧香 病毒 的 具体 步骤 如 下 : 

(1) 安装 杀毒 软件 ,并 在 上 网 时 打开 网 页 实时 监控 。 

(2) 网 站 管理 员 应 该 更 改 机 器 密码 ,以 防止 病毒 通过 局 域 网 传播 。 

G) 当 QQ,UC 的 漏洞 已 经 被 该 病毒 利用 时 ,用 户 应 该 去 相应 的 官方 网 站 打 好 最 新 补丁 。 

(4) 该 病毒 会 利用 TE 浏览 器 的 漏洞 进行 攻击 .因此 用 户 应 该 给 TE 浏览 器 打 好 所 有 的 补 
丁 。 如 果 有 必要 ,用 户 可 以 暂时 使 用 Firefox, Opera 等 比较 安全 的 浏览 器 。 

7. 熊猫 烧香 病毒 的 清除 

如 果 计 算 机 中 了 熊猫 烧香 病毒 , 则 可 以 采取 以 下 步骤 来 对 它 进行 清除 : 


计算 机 涤 素 及 其 防治 


Bow 


BHAERAGK^5XExEX 


Autologin dat | BesicCtrlD1l d1 ui 
mj Dl yen 3iLivelpdate. exe 
rE BesieCtrlDIl DLL 
BEdit. dl ui 
^ 1091 Bate exe ^ Biüopliestion dl 
ShuadyBase DLL 
ui t los 4QQ. ini 
BE E TERE UE d sEUS 
im 1 
CameraDll dl ui 
D 1.0.0.1 Chatkoon. exe ^ ConnBase. dll 
Canerab1l DLL 
r CoseConf; c ing 21 ConmonY Set, dat 
[à ERGO a EJ TOO. | Pr: n 
rm Coanereedine PL — | 3 
Td. Content Config ini ContentTab. dll Coralssist. dll 
KRS ^ 1001 ^ "eG 
E: ContentTab DLL ANRO MEE 
His Coralqg 1 un 
Cora1QQ90. exe ^ 4.5.3.915 CoralQQ. exe 
CoralQQ Core DLL 


图 5.10 熊猫 烧香 被 感染 后 的 文件 图 标 


COD 断 开 网 络 。 

(2) 结束 病毒 进程 *“%System%\FuckJacks. exe", 

(3) 删除 病毒 文件 “%System%\FuckJacks. exe", 

(4) 在 分 区 盘 符 上 单 击 右 键 ,在 弹出 的 快捷 菜单 中 选择 “打开 ”命令 ,进入 分 区 根 目 录 ， 
删除 根 目 录 下 的 两 个 文件 : X:\autorun. inf 和 X:\setup. exes 

(5) 在 注册 表 中 删除 病毒 创建 的 启动 项 : 

[HKEY CURRENT USERVSoftwareMicrosoftVWindowsVCurrentVersionNRun] 

"FuckJacks" = " $ System $ VFuckJacks. exe" 

[HKEY LOCAL MACHINENSOFTWAREM,icrosoftWiindowsVCurrentVersionWVRun] 

"svohost" = " % System % VFuckJacks. exe" 


(6) 修复 或 重新 安装 反 病毒 软件 。 
(7) 使 用 反 病毒 软 件 或 专 杀 工 具 进 行 全 盘 扫 描 , 清 除 恢 复 被 感染 的 . exe 文件 。 图 5. 11 
所 示 为 瑞星 公司 的 熊猫 烧香 专 杀 工 具 窗 口 。 


C Worm.Bimaya 考 用 清除 工具 版本: 1.10 


Tora. Hisays GERE) 专 杀 芽 具 最 新 版 本 : 1. 10 STE 
瑞星 杀毒 软件 免 序列 号 安装 包 瑞星 卡 卡 助手 免费 下 载 
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图 5.11 熊猫 烧香 专 杀 工具 窗口 


5.6 部 署 企业 版 杀毒 软件 


5.6.1 企业 版 杀毒 软件 概述 


防 病毒 是 网 络 安全 的 重 中 之 重 。 当 网 络 中 的 个 别 客户 端 感染 病毒 后 ,就 有 可 能 在 极 短 
的 时 间 内 感染 整个 网 络 ,造成 网 络 服务 中 断 或 瘫痪 ,所 以 局 域 网 的 防 病毒 工作 非常 重要 。 最 
常用 的 方法 就 是 在 网 络 中 部 署 企业 版 杀毒 软件 ,比如 Symantec AntiVirus ,趋势 科技 与 瑞星 
的 网 络 版 杀毒 软件 等 。 本 节 重 点 讲解 Symantec 公司 推出 的 新 一 代 企 业 版 网 络 安全 防护 产 
品 一 一 Symantec Endpoint Protection( 端 点 保护 ) 。 它 将 Symantec AntiVirus 与 高 级 威胁 
防御 功能 相 结合 ,可 以 为 笔记 本 电脑 .台式 机 和 服务 器 提供 安全 防护 功能 。 它 在 一 个 代理 和 
管理 控制 台中 无 颖 集成 了 基本 安全 技术 ,不 仅 提高 了 防护 能 力 , 而 且 还 有 助 于 降低 总 拥有 
成 本 。 

1. 主要 功能 

(1) 无 颖 集成 了 一 些 基 本 技术 ,如 集成 了 防 病毒 . 反 间 谍 软 件 . 防 火 墙 , 人 侵 防 御 和 设备 
控制 技术 。 

(2) 只 需要 一 个 代理 ,通过 一 个 管理 控制 台 , 即 可 进行 管理 。 

(3) 由 端点 安全 领域 的 市 场 领导 者 提供 无 可 匹敌 的 端点 防护 。 

(4) 无 须 对 每 个 端点 额外 部 署 软件 , 即 可 立即 进行 NAC 升级 。 

2. 主要 优势 

(1) 阻截 恶意 软件 ,如 病毒 、 蠕 虫 、 特 洛 伊 木 马 、 间 谍 软 件 、 恶 意 软 件 、 零 日 威胁 和 
Rootkit。 

(2) 防止 安全 违规 事件 的 发 生 , 从 而 降低 管理 开销 。 

(3) 降低 保障 端点 安全 的 总 拥有 成 本 。 

新 一 代 Symantec 安全 防护 产品 主要 包括 Symantec Endpoint Protection( 端 点 保护 ) 和 
Symantec Network Access Control( 端 点 安全 访问 控制 ) 两 种 。 每 一 种 功能 都 可 以 提供 强大 
的 Symantec Endpoint Protection Manager( 端 点 保护 管理 ) ,以 帮助 管理 员 快 速 完成 网 络 安 
全 的 统一 部 署 和 管理 。 

A 课业 任务 5-1 

WYL 公司 采用 Symantec Endpoint Protection( 端 点 保护 ) 作 为 安全 防护 解决 方案 ,网 
络 管理 员 需 要 在 一 台 安 装 Windows Server 2008 操作 系统 的 计算 机 上 安装 Symantec 
Endpoint Protection 服务 器 端 软件 ,然后 对 其 受 管 的 所 有 客户 端 进行 部 署 。 

下 面 通过 5.6.2,5.6.3,5.6.4,5.6. 5 3X 4 小 节 分 别 来 讲解 服务 器 端 与 客户 端的 安装 与 
部 署 , 以 完成 课业 任务 5-1。 


5.6.2 安装 Symantec Endpoint Protection Manager 


安装 步骤 如 下 : 
(1) 插入 安装 光盘 ,双击 光盘 根 目录 下 的 Setup. exe 文件 ,启动 安装 程序 ,显示 如 图 5. 12 
所 示 的 【Symantec Endpoint Protection 安装 程序 窗口 。 
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5.12 [Symantec Endpoint Protection 安装 程序 ] 窗 口 


(2) 在 图 5.12 所 示 的 窗口 中 单 击 【 安 装 Symantec Endpoint Protection Manager】 按 钮 ， 
启动 Symantec Endpoint Protection Manager 安装 向 导 , 弹 出 如 图 5. 13 所 示 的 【欢迎 使 用 
Symantec Endpoint Protection Manager 安装 向 导 】 对 话 框 。 


则 Seentee Endpoint Protection TA xj 


D 欢迎 使 用 erue Endpoint Protection 


A STEZA HIL Ee Symantec Endpoint 
Protection Manager, SEME, WE F-E". 


Aie 该 程序 受 版 权 法 和 国际 公约 的 保护 。 


5.13 【欢迎 使 用 Symantec Endpoint Protection Manager 安装 向 导 】 对 话 框 


(3) 在 图 5. 13 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 5. 14 所 示 的 【授权 许可 协 
议 ] 对 话 框 ,选择 [我 接受 该 许可 证 协议 中 的 条 款 了 单 选 按钮 。 

(4) 在 图 5. 14 所 示 的 对 话 框 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 15 所 示 的 【目录 文件 
夹 〗 对 话 框 , 单 击 【 更 改 ] 按 钮 可 以 重新 选择 安装 目录 ,建议 使 用 默认 安装 路 径 。 

(5) 在 图 5. 15 所 示 的 对 话 框 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 16 所 示 的 【选择 网 站 了 
对 话 框 。 若 要 在 该 服务 器 上 使 Symantec Endpoint Protection Manager IIS Web 和 原 有 的 
Web 站 点 同时 运行 , 则 选择 【使 用 默认 Web 站 点 了 单 选 按钮 ; 车 要 将 Symantec Endpoint 
Protection Manager IIS Web 配置 为 当前 服务 器 上 唯一 的 Web 站 点 , 则 选择 【创建 自 定义 站 
点 (建议 ) 了 单 选 按钮 。 为 了 提高 服务 器 的 安全 性 ,建议 选择 [创建 自 定义 站 点 (建议 ) 了 单 选 按钮 。 


x 
授权 许可 协议 


SYMANTEC € 赛 门 铁 克 ) 软件 授权 许可 协议 
Symantec Corporation € 3E[:5:2:8] ) 和 ( R) 其 附属 公司 AFER “Symantec 
CRIE)” 许可 阁下 个 人 、 公 司 或 法 律 实体 ( 以 下 毗 称 为 “阁下 ”) 使 用 本 授 
| 权 软 件 ,条件 是 阁下 必须 接受 本 许可 协议 (“授权 许可 协议 ” 2 的 全 部 条 款 。 请 阁下 
在 使 用 本 授权 软件 之 前 详细 阅读 有 关 条 款 和 条 件 。 本 文件 为 阁下 与 SYMANTEC 赛 门 
ks.) 之 间 合法 及 可 执行 的 合同 。 打 开 授权 软件 的 包装 盒 、 撕 撞 授 权 软件 的 标签 、 单 
| 击 “ 同 意 ” 或 “是 ”按钮 ， 或 者 通过 其 它 电子 方式 表示 同意 、 或 者 装载 授权 软件 或 以 
| 其它 方式 使 用 授权 软件 车 表示 阁下 同意 本 授权 许可 协议 的 条 款 和 条 件 。 知 阁下 不 同意 
上述 条 款 和 条 件 ， 请 单 击 “ 我 不 同意 ”或 “天 ”按钮 ， 并 不 再 使 用 本 授权 软件 。 除 非 
许可 协议 的 “定义 ”部 分 中 给 出 的 合 到 
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5.15 【目标 文件 夹 ] 对 话 框 
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图 5. 16 【选择 网 站 ] 对 话 框 
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网 络 安 会 鞭 术 与 实践 


(6) 在 图 5. 16 所 示 的 对 话 框 中 单 击 [ 下 一 步 ] 按 钮 ,弹出 如 图 5.17 所 示 的 【准备 安装 程 
序 】 对 话 框 ,提示 安装 向 导 已 经 准备 就 绪 。 


EEC x 
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图 5. 17 【准备 安装 程序 ] 对 话 框 


(7) 在 图 5.17 所 示 的 对 话 框 中 单 击 [ 安 装 ] 按 钮 , 即 开始 安装 ,需要 等 待 几 分 钟 时 间 , 完 
成 后 弹出 如 图 5. 18 所 示 的 【安装 向 导 已 完成 ] 对 话 框 。 


[FEI E x 


”安装 向 导 已 完成 
四 


安装 向 导 已 经 成 功 安装 了 Symantec Endpoint Protection. 
Manager. iMi ank LACE Symantec Endpoint. 
Protection Manager。 


图 5. 18 【安装 向 导 已 完成 ] 对 话 框 


(8) 在 图 5.18 所 示 的 对 话 框 中 单 击 【 完 成 3 按钮 , 即 可 完成 Symantec Endpoint Protection 
Manager 的 安装 。 


5.6.3 配置 Symantec Endpoint Protection Manager 


安装 完成 Symantec Endpoint Protection Manager 后 ,还 应 该 对 其 进行 配置 ,包括 创建 
服务 器 组 ,设置 站 点 名 称 、 管 理 员 密码 、 客 户 端 安装 方式 ,以 及 制作 客户 端 安装 包 等 。 其 具体 
操作 步骤 如 下 : 

CD t£ Ur l [f£ 1— Symantec Endpoint Protection Manager 习 【管理 服务 器 配 


置 向 导 了 命令 ,弹出 如 图 5. 19 所 示 的 【欢迎 使 用 管理 服务 器 配置 向 导 】 和 窗口 。 此 处 提供 【 简 
单 】 与 【高 级 了 两 种 配置 类 型 。 其 区 别 在 于 民 简 单 】 是 指 小 于 100 个 用 户 的 情况 ,并 且 使 用 符 
入 式 数 据 库 ,而 【高 级 是 指 大 于 100 个 用 户 , 同 时 可 以 使 用 Microsoft SQL Server 作为 数据 
库 。 本 任务 因为 企业 规划 不 大 ,因此 选择 [简单 单 选 按钮 。 
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5.19. 【欢迎 使 用 管理 服务 器 配置 向 导 ] 和 窗口 


(2) 在 图 5. 19 所 示 的 窗口 中 单 击 [ 下 一 步 3 按 钮 ,弹出 如 图 5. 20 所 示 的 【创建 系统 管理 
Tf E Pg EL ,设置 登录 Symantec Endpoint Protection Manager 的 用 户 名 与 密码 。 
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5.20 【创建 系统 管理 员 账户 ] 窗 口 


计算 机 涤 素 及 其 防治 
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(3) 在 图 5. 20 所 示 的 窗口 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 21 所 示 的 显示 配置 相关 
信息 窗口 ,显示 管理 服务 器 使 用 的 相关 配置 信息 。 
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C] 
图 5.21 显示 配置 相关 信息 窗口 


(4) 在 图 5. 21 所 示 的 窗口 中 单 击 【 下 一 步 ] 按 钮 ,等 待 系统 创建 好 数据 库 之 后 ,弹出 如 
图 5. 22 所 示 的 【管理 服务 器 配置 向 导 已 完成 ] 窗 口 ,完成 Symantec Endpoint Protection 
Manager 的 配置 。 
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图 5. 22 【管理 服务 器 配置 向 导 已 完成 3 窗口 


5.6.4 迁移 和 部 置 向 导 


迁移 和 部 署 向 导 主 要 用 来 帮助 管理 员 完 成 客户 端的 部 署 ,或 者 将 客户 端 从 旧版 本 
Symantec AntiVirus 迁移 到 Symantec Endpoint Protection 管理 平台 。 

迁移 和 部 署 向 导 的 具体 操作 步骤 如 下 : 

(1) 用 户 可 以 在 完成 管理 服务 器 配置 向 导 后 立即 开始 部 署 ,也 可 以 选择 【开始 】- 并 迁移 
和 部 署 向 导 】 命 令 ,弹出 如 图 5. 23 所 示 的 [欢迎 使 用 迁移 和 部 署 向 导 ] 窗 口 。 
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图 5. 23 【欢迎 使 用 迁移 和 部 署 向 导 ] 徐 口 


(2) 在 图 5. 23 所 示 的 窗口 中 单 击 【 下 一 步 ] 按 钮 ,弹出 如 图 5. 24 所 示 的 【您 选择 何 种 操 
作 ] 窗 口 ,本 任务 选择 [部 署 客 户 端 单 选 按 钮 。 
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图 5. 24 【您 选择 何 种 操作 窗口 


TEE RU ERE ES i 


Bow 


BHAERAAÁK^5ExEX 


G) 在 图 5. 24 所 示 的 窗口 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 25 所 示 的 指定 要 部 署 的 
客户 端 组 窗口 ,选择 【指定 您 要 部 署 客户 端的 新 组 名 了 单 选 按钮 ,本 任务 在 文本 框 中 输入 组 名 
“thxy”。 
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5.25 指定 要 部 署 的 客户 端 组 窗口 


(4) 在 图 5. 25 所 示 的 窗口 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 26 所 示 的 选择 包含 的 功 
能 窗口 ,通常 情况 下 保持 默认 即 可 。 如 果 客 户 端 使 用 Outlook 收发 邮件 , 则 也 可 以 选择 
[Microsoft Outlook 扫描 程序 ] 复 选 框 。 
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5.26 选择 包含 的 功能 窗口 


(5) 在 图 5. 26 所 示 的 窗口 中 单 击 【下 一 步 ] 按 钮 ,弹出 如 图 5. 27 所 示 的 定制 客户 端 软 
件 功 能 窗口 ,本 任务 选择 无 人 参与 的 32 位 的 . exe 文件 ,另外 ,还 可 以 选择 生成 客户 端 软 件 
存放 的 路 径 。 
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5.27 定制 客户 端 软件 功能 窗口 


(6) 在 图 5. 27 所 示 的 窗口 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 5. 28 所 示 的 是 否 立 即 部 署 
到 远程 客户 端 窗口 ,如果 选择 【是 有 单 选 按钮 , 则 立即 开始 在 远程 计算 机 上 安装 SEP 客户 端 ， 
本 任务 选择 【 否 ,只 要 创建 即 可 ,我 稍 后 会 部 署 ] 单 选 按钮 。 
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图 5.28 是 否 立即 部 署 到 远程 客户 端 窗口 
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(7) 在 图 5. 28 所 示 的 窗口 中 单 击 【 完 成 ] 按 钮 ,关闭 迁移 与 部 署 向 导 , 默 认 情 况 下 将 
弹出 【Symantec Endpoint Protection Manager 控制 台 】 窗 口 ,显示 如 图 5. 29 所 示 的 登录 
界面 。 


y Symantec" Endpoint 
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Copyright © 2007-2008 Symantec Corporation. Al rights reserved. 


图 5.29 登录 界面 


5.6.5 安装 Symantec Endpoint Protection 客户 端 


Symantec Endpoint Protection 客户 端 分 为 受 管理 客户 端 与 非 受 管理 客户 端 ,其 中 , 受 
管理 客户 端 可 以 通过 Symantec Endpoint Protection Manager 远程 部 署 等 方式 安装 ,也 可 以 
在 客户 端 上 使 用 管理 服务 器 创建 的 安装 包 安装 。 安 装 完成 后 将 自动 添加 到 指定 的 组 中 ,并 
接受 服务 器 的 统一 管理 。 而 非 受 管理 客户 端 则 可 以 通过 安装 光盘 完成 ,虽然 同样 可 以 被 添 
加 到 服务 器 控制 台中 ,但 不 接受 服务 器 的 管理 。 需 要 注意 的 是 , Symantec Endpoint 
Protection 客户 端 在 安装 过 程 中 至 少 需要 700MB 的 硬盘 空间 .如 果 空 间 不 足 ,将 导致 失败 。 

对 于 受 管理 客户 端的 安装 ,用 户 可 以 通过 以 下 几 种 方法 部 署 接受 Symantec Endpoint 
Protection Manager 服务 器 管理 的 客户 端 : 

。 迁移 和 部 署 向 导 的 “ 推 " 式 安 装 ; 

。 客户 端 映射 网 络 驱 动 安装 ; 

。 使 用 “查找 非 受 管 计算 机 ”部 署 ; 

。 客户 端 手动 安装 ; 

。 使 用 Altiris 安装 和 部 署 软 件 安装 。 

本 任务 介绍 使 用 迁移 和 部 署 向 导 的 “ 推 " 式 安装 ,具体 步骤 如 下 : 


CD 启动 迁移 与 部 署 向 导 ,连续 单 击 [下 一 步 ] 按 钮 ,直至 弹出 如 图 5. 30 所 示 的 【迁移 和 
部 署 向 导 ] 窗 口 ,选择 【选择 现 有 客户 端 安 装 软件 包 以 进行 部 署 单 选 按钮 。 
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图 5.30 选择 现 有 客户 端 安装 软件 包 以 进行 部 署 


(2) 在 图 5. 30 所 示 的 窗口 中 单 击 【 下 一 步 ] 按 钮 ,弹出 如 图 5. 31 所 示 的 【 推 式 部 署 向 
导 】 对 话 框 。 单 击 该 对 话 框 中 的 [浏览 ] 按 钮 ,选择 已 经 创建 完成 的 安装 程序 所 在 的 目录 ,在 
【指定 并 行 部 署 数量 上 限 ] 文 本 框 中 输入 相应 的 值 , 默 认 是 10 个 。 
xi 
© 指定 悠 要 部 署 的 客户 端 软 件 所 在 的 文件 夹 G) ; 
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图 5. 31 【 推 式 部 署 向 导 ] 对 话 框 
(3) 在 图 5. 31 所 示 的 对 话 框 中 单 击 【 下 一 步 3 按 钮 ,弹出 如 图 5. 32 所 示 的 选择 部 署 的 
计算 机 对 话 框 ,选择 希望 添加 为 客户 端的 计算 机 。 


(4) 在 图 5. 32 所 示 的 对 话 框 中 单 击 【添加 3 按钮 ,弹出 如 图 5. 33 所 示 的 【远程 客户 端 验 
证 对 话 框 ,在 【用户 名 】 与 【密码 ] 文 本 框 中 输入 远程 登录 目标 计算 机 时 使 用 的 用 户 名 信息 ， 
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图 5.32 选择 部 署 的 计算 机 


单 击 【确定 了 按钮 , 即 可 将 其 添加 到 图 5. 32 所 示 的 【要 部 署 到 的 计算 机 3 列表 框 中 ,重复 操作 
可 以 添加 多 个 客户 端 。 
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5.33 【远程 客户 端 验 证 ] 对 话 框 


(5) 添加 完 所 有 需要 部 署 的 客户 端 之 后 ,在 图 5. 32 所 示 的 对 话 框 中 单 击 【完成 3 按钮 ， 
即 可 以 开始 安装 ,弹出 如 图 5. 34 所 示 的 【远程 客户 端 安装 状态 对话 框 。 
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图 5. 34 【远程 客户 端 安装 状态 ] 对 话 框 


(6) 安装 完成 后 ,弹出 如 图 5. 35 所 示 的 [ 推 式 部 署 向 导 】 提 示 对 话 框 ,提示 是 否 查 看 部 
署 日 志 。 如 果 并 发 部 署 多 个 客户 端 , 则 可 能 由 于 服务 器 性 能 导致 部 分 客户 端 无 法 正常 完成 ， 
此 时 可 以 通过 日 志 确 定 完成 情况 。 


至 此 ,管理 服务 器 上 的 远程 部 署 工作 完成 了 ,客户 端 将 开始 自 rcc al 
动 安装 ,安装 完成 后 将 提示 用 户 是 否 立 即 重新 启动 计算 机 。 0 


5.6.6 升级 病毒 库 CR s 


杀毒 软件 是 根据 提取 的 病毒 特征 来 确定 文件 是 否 是 病毒 程序 — 图 5 35 提示 对 话 框 
的 ,升级 病毒 库 就 是 不 断 地 更 新 能 够 识别 的 病毒 库 特征 ,增强 杀毒 
软件 与 系统 应 用 程序 之 间 的 兼容 性 。 通 常情 况 下 , 非 受 管理 客户 端 每 天 从 Symantec 
LiveUpdate 站 点 下 载 病 毒 库 。 在 新 一 代 的 Symantec 安全 防御 系统 中 新 增 了 LiveUpdate 
管理 服务 器 ,主要 为 大 型 网 络 提供 客户 端 病毒 库 升 级 管理 。 


练 习 m 


1. 选择 题 
CD 计算 机 病毒 是 ( ^). 
A. 编制 有 错误 的 计算 机 程序 
B. 设计 不 完善 的 计算 机 程序 
C. 已 被 破坏 的 计算 机 程序 
D. 以 危害 系统 为 目的 的 特殊 计算 机 程序 
(2) 以 下 关于 计算 机 病毒 特征 的 说 法 正确 的 是 ( Jis 
A. 计算 机 病毒 只 具有 破坏 性 ,没有 其 他 特征 
B. 计算 机 病毒 具有 破坏 性 ,不 具有 传染 性 
C. 破坏 性 和 传染 性 是 计算 机 病毒 的 两 大 主要 特征 
D. 计算 机 病毒 只 具有 传染 性 ,不 具有 破坏 性 
(3) 计算 机 病毒 是 一 段 可 运行 的 程序 , 它 一 般 ( ) 保 存在 磁盘 中 。 


A. 作为 一 个 文件 B. 作为 一 段 数 据 
C. 不 作为 单独 文件 D. 作为 一 段 资料 
(4) 下 列 措施 中 ,( ) 不 是 减少 病毒 传染 和 造成 损失 的 好 办 法 。 


A. 重要 的 文件 要 及 时 、 定 期 备份 ,使 备份 能 反映 出 系统 的 最 新 状态 
B. 外 来 的 文件 要 经 过 病毒 检测 才能 使 用 ,不 要 使 用 盗版 软件 
C. 不 与 外 界 进行 任何 交流 ,所 有 软件 都 自行 开发 
D. 定期 用 杀毒 软件 对 系统 进行 查 毒 、 杀 毒 
O) 下 列 关于 计算 机 病毒 的 说 法 中 ,正确 的 是 ( m 
A. 计算 机 病毒 是 磁盘 发 考 后 产生 的 一 种 会 破坏 计算 机 的 微生物 
DB. 计算 机 病毒 是 患 有 传染 病 的 操作 者 传染 给 计算 机 ,影响 计算 机 正常 运行 
C. 计算 机 病毒 有 故障 的 计算 机 自己 产生 的 可 以 影响 计算 机 正常 运行 的 程序 
D. 计算 机 病毒 人 为 制造 出 来 的 干扰 计算 机 正常 工作 的 程序 
(6) 计算 机 病毒 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 ,此 特 
征 为 计算 机 病毒 的 ( o. 
A. 潜伏 性 B. 传染 性 


计算 机 洗 素 及 其 防治 


doy 
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C. 欺骗 性 D. 持久 性 
CO 计算 机 病毒 的 主要 危害 有 ( )。 
A. 损坏 计算 机 的 外 观 B. 干扰 计算 机 的 正常 运行 
C. 影响 操作 者 的 健康 D. 使 计算 机 腐烂 
2. 填空 题 
A) Office 中 的 Word, Excel, PowerPoint, Viso 等 很 容易 感染 病毒 。 
(2) 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 , 影 


响 计 算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 
G) 冲击 波 和 震荡 波 都 是 属于 病毒 。 


第 6 章 | Windows 2008 操作 系统 的 安全 


操作 系统 是 连接 计算 机 硬件 与 上 层 软件 及 用 户 的 桥梁 ,也 是 计算 机 系统 的 核心 。 因 此 ， 
操作 系统 的 安全 性 与 否 直接 决定 着 信息 是 否 安全 。 作 为 网 络 操作 系统 或 服务 器 操作 系统 ， 
高 性 能 、 高 可 靠 性 和 高 安全 性 是 其 必 备 要 素 , 尤 其 是 日 趋 复杂 的 企业 应 用 和 Internet 应 用 ， 
对 其 提出 了 更 高 的 要 求 。Windows Server 2008 是 新 一 代 Windows Server 操作 系统 ,是 专 
为 强化 新 一 代 网 络 .应 用 程序 和 Web 服务 功能 而 设计 的 。Windows Server 2008 操作 系统 
不 仅 保留 了 Windows Server 2003 的 所 有 优点 ,而 且 还 引进 了 多 项 新 技术 。 该 操作 系统 使 
用 ASLR( Address Space Layout Randomization ,随机 地 址 空间 分 配 ) 技 术 .更 好 的 防火 墙 功 
能 及 BitLocker 磁盘 加 密 功 能 ,还 加 入 了 加 强 诊断 和 监测 的 功能 、 存 储 及 文件 系统 的 改进 功 
能 ,可 自行 恢复 NTFS 文件 系统 。 同 时 ,还 加 强 了 管理 ,改写 了 网 络 协议 栈 ,其 中 包括 支持 
IPv6 等 功能 。 

» 学 习 目 标 

。 掌握 Windows 2008 操作 系统 的 用 户 安全 管理 ,账号 与 密码 设 定 , 以 及 账号 和 密码 安 

全 设 定 的 常用 方法 。 
。 掌握 文件 系统 安全 管理 ,包括 NTFS 权限 、 共 享 权限 、 权 限 又 加 ,以 及 使 用 文件 服务 
器 资源 管理 器 实现 文件 屏蔽 的 方法 。 

。 熟练 掌握 Windows 2008 主机 安全 的 配置 。 

。 熟练 掌握 常见 的 本 地 组 策略 的 配置 。 

» 课业 任务 

本 章 通过 8 个 实际 课业 任务 ,由浅 和 人 深 、 循 序 渐进 地 介绍 Windows 2008 操作 系统 的 用 
户 文件 及 主机 安全 。 

3 课业 任务 6-1 

Bob 是 WYL 公司 的 网 络 管理 员 , 公 司 服务 器 安装 的 是 Windows Server 2008 操作 系 
统 ,为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 更 改 了 Administrator 账户 名 称 ,并 创建 了 一 个 
名 称 为 Administrator 的 陷阱 账户 。 

能 力 观测 点 

Windows 2008 账号 与 密码 安全 设置 ; 创建 陷阱 账户 。 

A 课业 任务 6-2 

WYL 公司 的 文件 服务 器 安装 的 是 Windows Server 2008 操作 系统 ,服务 器 D 盘 使 用 
NTFS 格式 。 现 要 求 网 络 管理 员 在 D 盘 创 建 一 个 共享 文件 夹 , 命 名 为 【开发 部 文件 夹 】, 并 
通过 设置 合适 的 NTFS 权限 和 共享 权限 ,使 开发 部 的 员工 能 够 通过 网 络 在 【开发 部 文件 夹 】 
内 创建 自己 的 文件 夹 ,以 用 于 保存 个 人 的 文件 。 每 个 员工 对 自己 的 文件 夹 有 完全 控制 权限 ， 
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但 不 能 访问 别 的 员工 提交 的 文件 夹 和 文件 。Bob 和 Tom 都 是 开发 部 的 员工 ,开发 部 的 用 户 
组 是 R&D Department。 

能 力 观 测 点 

文件 夹 权限 的 继承 性 ; 共享 文件 夹 权限 管理 。 

3 课业 任务 6-3 

Bob 和 Tom 都 是 WYL 公司 开发 部 的 员工 ,他 们 的 工作 文档 都 保存 在 D 盘 的 【开发 部 
文件 夹 3 目 录 下 。 为 了 保证 这 些 文档 的 安全 ,他 们 要 对 自己 的 个 人 文件 夹 设置 EFS 加 密 , 并 
备份 密 钥 到 安全 的 地 方 。 

能 力 观 测 点 

文件 夹 设置 EFS 加 密 ; 备份 EFS 证 书 。 

3 课业 任务 6-4 

Bob 是 WYL 公司 的 网 络 管理 员 , 公 司 服务 器 安装 的 是 Windows Server 2008 操作 系 
统 。 为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 配置 服务 器 安全 策略 ,以 审核 登录 成 功 和 失 
败 , 这 样 可 以 在 安全 日 志 中 查看 登录 成 功 和 失败 的 记录 。 审 核 登录 事件 ,可 以 发 现 黑客 的 人 
侵 行 为 。 

能 力 观测 点 

设置 审核 策略 ; 设置 审核 登录 事件 。 

A 课业 任务 6-5 

Bob 是 WYL 公司 的 网 络 管理 员 , 公 司 服务 器 安装 的 是 Windows Server 2008 操作 系 
统 。 为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 配置 服务 器 审核 策略 ,审核 用 户 管理 ,这 样 创 
建 用 户 . 重 设 密码 .启用 用 户 ,将 用 户 添加 到 组 ,删除 用 户 等 操作 都 将 记录 在 安全 日 志 

能 力 观测 点 

设置 审核 策略 ; 设置 审核 账户 管理 。 

3i 课业 任务 6-6 

Bob 是 WYL 公司 的 网 络 管理 员 ,为 了 保证 Bob 计算 机 的 安全 ,Bob 在 自己 的 计算 机 上 
配置 了 服务 器 审核 策略 ,审核 用 户 权 限 分 配 ,拒绝 ceshi 用 户 从 网 络 访问 他 的 计算 机 。 

能 力 观测 点 

设置 审核 策略 ; 审核 用 户 权 限 分 配 。 

3 课业 任务 6-7 

WYL 公司 的 Web 服务 器 安装 的 是 Windows Server 2008 系统 ,通过 创建 防火 墙 的 自 
定义 入 站 规则 ,允许 客户 机 访问 Web 服务 器 上 端口 8080 的 网 站 首页 。 

能 力 观测 点 

使 用 高 级 功能 防火 墙 设置 人 站 规则 。 

Si 课业 任务 6-8 

WYL 公司 的 服务 器 安装 的 是 Windows Server 2008 系统 ,通过 基于 协议 和 端口 创建 防 
火 墙 的 出 站 规则 ,阻止 服务 器 访问 FTP 站 点 。 

能 力 观测 点 

使 用 高 级 功能 防火 墙 设置 出 站 规则 。 


6.1 Windows 2008 用 户 安 全 


保证 用 户 名 和 密码 的 安全 是 防止 对 计算 机 进行 未 授权 访问 的 第 一 道 防线 ,密码 越 强 ,就 
越 能 保护 计算 机 免 受 黑客 和 恶意 软件 的 侵害 ,因此 应 确保 计算 机 上 的 所 有 账户 使 用 的 都 是 
强 密码 。 


6.1.1 用 户 管理 


用 户 类 型 分 为 两 种 : 一 种 是 系统 内 置 的 账户 , 另 一 种 是 管理 员 自 己 创建 的 本 地 用 户 。 

1. 内 置 的 用 户 账户 

如 图 6. 1 所 示 ,打开 【服务 器 管理 器 窗口 ,选择 【配置 了 拭 本 地 用 户 和 组 】 拭 用 户 ] 选 
项 , 即 可 以 看 到 默认 的 用 户 账 户 。 
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6.1 默认 的 用 户 账 户 


Administrator 账户 : 具有 对 计算 机 的 完全 控制 权限 ,并 可 以 根据 需要 向 其 他 用 户 分 
配 权限 。Administrator 账户 是 Windows 系统 中 权限 最 高 的 用 户 账户 ,一旦 密码 丢失 或 被 
入 侵 者 破解 ,后 果 将 不 堪 设 想 。 因 此 ,必须 做 好 Administrator 账户 的 安全 保护 工作 。 
Administrator 账户 是 计算 机 上 Administrators 组 的 成 员 ,该 账户 不 能 从 Administrators 组 
删除 ,但 可 以 重 命名 、 设 置 强 密码 、 创 建 陷阱 账号 或 者 禁用 等 ,这 些 措施 都 可 以 使 恶意 用 户 尝 
试 非法 使 用 该 账户 变 得 困难 。 

Guest 账户 : Guest 账户 由 在 这 台 计 算 机 上 没有 实际 账户 的 人 使 用 。 默 认 人 情况 下 ， 
Guest 账户 是 禁用 的 ,也 可 以 将 其 启用 ,建议 保持 禁用 状态 。 可 以 像 任何 用 户 账 户 一 样 设置 
Guest 账户 的 权利 和 权限 。 默 认 情 况 下 ,Guest 账户 是 默认 的 Guests 组 的 成 员 ,该 组 允许 
用 户 登 录 计 算 机 。 其 他 权利 及 任何 权限 都 必须 由 Administrators 组 的 成 员 授 予 Guests 
组 。 为 了 系统 安全 ,建议 保持 该 账户 的 禁用 状态 。 

2. 创建 的 本 地 用 户 

在 如 图 6. 1 所 示 的 窗口 中 右 击 【 用 户 】 选 项 ,在 弹出 的 快捷 菜单 中 选择 [新 用 户 ] 命 令 ,将 
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弹出 如 图 6. 2 所 示 的 [新 用 户 】 对 话 框 ,输入 用 户 名 、 全 名 、 描 述 和 密码 , 单 击 【 创 建 3 按 钮 ,就 
创建 了 一 个 普通 用 户 。 将 该 用 户 添加 到 Administrators 组 ,该 用 户 就 成 为 该 计算 机 的 管 
理 员 。 
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6.2 创建 本 地 用 户 


注意 : Windows Server 2008 的 安全 策略 默认 要 求 用 户 的 密码 必须 符合 复杂 性 要 求 , 因 
此 输入 的 密码 如 果 全 是 字符 或 全 是 数字 , 则 会 弹出 错误 提示 对 话 框 。 用 户 必 须 输 入 类 似 于 
“al1” 或 “p@ssw0rd” 这 样 的 密码 才能 满足 默认 的 安全 策略 。 


6.1.2 组 管理 


组 是 用 户 账号 的 集合 ,利用 组 可 以 管理 对 共享 资源 的 访问 。 共 享 资源 包括 网 络 文件 夹 、 
文件 .目录 和 打印 机 。 利 用 组 可 以 将 访问 共享 资源 的 权限 一 次 授予 某 个 组 ,而 不 是 单独 授予 
多 个 用 户 。 利 用 组 可 以 简化 授权 。 

例如 ,销售 部 的 员工 可 以 访问 产品 的 成 本 信息 ,不 能 访问 公司 员工 的 工资 信息 ; 而 人 事 
部 的 员工 可 以 访问 员工 的 工资 信息 , 却 不 能 访问 产品 成 本 信息 。 当 一 个 销售 部 的 员工 调 到 
人 事 部 后 ,如 果 权 限 控制 是 以 每 个 用 户 为 单位 进行 的 , 则 权限 设置 相当 麻烦 ,而且 容 易 出 错 ; 
如 果 用 组 进行 管理 , 则 相当 简单 ,只 需 将 该 用 户 从 销售 组 中 删除 ,再 将 其 添加 进 人 事 组 即 可 。 
如 果 销 售 部 门 的 员工 兼职 人 事 部 门 工作 ,只 要 将 其 加 入 到 人 事 组 , 则 该 用 户 就 有 了 两 个 组 的 
权限 。 

1. 默认 组 

下 面 列 出 了 每 个 组 的 默认 用 户 权 限 。 这 些 用 户 权限 是 在 本 地 安全 策略 中 分 配 的 。 将 用 
户 添 加 到 这 些 组 ,用 户 登录 后 就 有 了 该 组 的 权限 。 

。 Administrators: 此 组 的 成 员 具 有 对 计算 机 的 完全 控制 权限 ,并 且 可 以 根据 需要 向 

用 户 分 配 用 户 权 限 和 访问 控制 权限 。Administrator 账户 是 此 组 的 默认 成 员 。 因 
为 属于 该 组 的 账户 对 计算 机 具有 完全 控制 权限 ,所 以 向 其 中 添加 用 户 时 要 特别 
HR. 

* Backup Operators: 此 组 的 成 员 可 以 备份 和 还 原 计 算 机 上 的 文件 ,而 不 管 保 护 这 些 


2. 


文件 的 权限 如 何 ,这 是 因为 ,执行 备份 任务 的 权利 要 高 于 所 有 文件 权限 。 此 组 的 成 
员 无 法 更 改 安 全 设置 。 

Guests: 该 组 的 成 员 拥 有 一 个 在 登录 时 创建 的 临时 配置 文件 ,在 注销 时 ,此 配置 文件 
将 被 删除 。 来 宾 账 户 ( 默 认 情 况 下 已 禁用 ) 也 是 该 组 的 默认 成 员 。 没 有 默认 的 用 户 
权利 。 

IIS IUSRS; 这 是 Internet 信息 服务 AIS) 使 用 的 内 置 组 。 没 有 默认 的 用 户 权利 。 
Network Configuration Operators: 该 组 的 成 员 可 以 更 改 TCP/IP 设置 ,并 且 可 以 
更 新 和 发 布 TCP/IP 地 址 。 该 组 中 没有 默认 的 成 员 。 没 有 默认 的 用 户 权 利 。 
Performance Log Users: 该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 端 管理 性 能 
计数 器 .日 志和 警报 ,而 不 用 成 为 Administrators 组 的 成 员 。 没 有 默认 的 用 户 
权利 。 

Performance Monitor Users: 该 组 的 成 员 可 以 从 本 地 计算 机 和 远程 客户 端 监视 性 能 
计数 器 ,而 不 用 成 为 Administrators 组 或 Performance Log Users 组 的 成 员 。 没 有 
默认 的 用 户 权利 。 

Power Users; 默认 情况 下 ,该 组 的 成 员 拥 有 不 高 于 标准 用 户 账户 的 用 户 权 利 或 权 
限 。 在 早期 版 本 的 Windows 中 ,Power Users 组 专门 为 用 户 提供 特定 的 管理 员 权 
利和 权限 ,执行 常见 的 系统 任务 。 在 此 版 本 的 Windows 中 ,标准 用 户 账户 具有 执行 
最 常见 配置 任务 的 能 力 , 例 如 更 改 时 区 。 没 有 默认 的 用 户 权 利 。 

Remote Desktop Users; 该 组 的 成 员 可 以 远程 登录 计算 机 。 人 允许 通过 终端 服务 
登录 。 

Users: 该 组 的 成 员 可 以 执行 一 些 常见 任务 ,例如 运行 应 用 程序 、 使 用 本 地 和 网 络 打 
印 机 及 锁定 计算 机 。 该 组 的 成 员 无 法 共享 目录 或 创建 本 地 打印 机 。 默 认 情 况 下 ， 
Domain Users, Authenticated Users 及 Interactive 组 是 该 组 的 成 员 。 因 此 ,在 域 中 
创建 的 任何 用 户 账户 都 将 成 为 该 组 的 成 员 。 

用 户 自 定义 组 


如 果 默 认 本 地 组 不 能 满足 授权 要 求 , 可 以 创建 组 。 例 如 ,服务 器 上 存放 开发 部 的 数据 ， 
如 果 需 要 给 市 场 部 的 员工 读 取 权限 ,可 以 创建 R&D Department 组 ,授予 该 组 能 够 读 取 开 
发 部 数据 ,然后 再 将 市 场 部 的 员工 账户 添加 到 该 组 。 


3. 


管理 组 成 员 


打开 【服务 器 管理 器 】 窗 口 ,双击 Administrators 组 ,在 弹出 的 【Administrators 属性 对 
话 框 中 可 以 看 到 该 组 的 成 员 , 如 图 6. 3 所 示 。 单 击 【添加 3 按钮 ,可 以 添加 用 户 到 该 组 。 选 中 
其 中 的 成 员 , 单 击 【删除 了 按钮 ,可 以 将 用 户 从 该 组 删除 。 注 意 ,Administrator 账户 不 能 从 
Administrators 组 删除 。 

打开 【服务 器 管理 器 了 窗口 ,双击 用 户 账户 ,打开 用 户 属性 对 话 框 , 选 择 【 隶 属于 3 选项 卡 ， 
就 可 以 看 到 用 户 所 属 的 组 ,如 图 6.4 所 示 。 单 击 【 添 加 按钮 ,可 以 将 该 用 户 添加 到 某 个 组 。 
选中 某 个 组 , 单 击 【 删 除 ] 按 钮 ,可 以 将 该 用 户 从 某 个 组 中 删除 。 
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图 6.4 查看 用 户 属性 


6.1.3 账号 与 密码 安全 设置 


入侵 者 若 想 资 取 系统 内 的 重要 数据 信息 或 执行 某 项 管理 功能 ,就 必须 先 获得 管理 员 权 
限 , 即 破解 管理 员 账 户 密码 。 密 码 破解 软件 的 工作 机 制 主要 包括 3 种 方法 : 巧妙 猜测 、 词 典 
攻击 和 自动 尝试 字符 组 合 。 从 理论 上 讲 , 只 要 有 足够 时 间 ,使 用 这 些 方法 可 以 破解 任何 账 
户 密码 。 破 解 一 个 弱 密 码 可 能 只 需 几 秘 钟 , 而 要 破解 一 个 安全 性 较 高 的 强 密码 , 则 可 能 
需要 几 个 月 甚至 几 年 的 时 间 。 因 此 ,系统 管理 员 账 户 可 以 使 用 强 密码 ,并 且 要 经 常 更 改 
密码 ,防止 密码 破解 。 

1. 安全 密码 原则 

如 果 要 保证 账户 密码 的 安全 ,应 当 遵 循 以 下 规则 。 

用 户 密码 应 包含 英文 字母 的 大 小 写 数字、 可 打印 字符 ,甚至 是 非 打印 字符 。 将 这 些 符 


号 排列 组 合 使 用 ,以 达到 更 好 的 保密 效果 。 

用 户 密码 不 要 太 规则 ,不 要 将 用 户 姓名 .生日 和 电话 号 码 作为 密码 ,不 要 用 常用 单词 作 
为 密码 。 

根据 黑客 软件 的 工作 原理 ,参照 密码 破译 的 难 易 程 度 , 以 破解 需要 的 时 间 为 排序 指标 。 
密码 长 度 设置 时 ,应 遵循 7 位 或 14 位 的 整数 倍 原则 。 

在 通过 网 络 验 证 密码 的 过 程 中 ,不 得 以 明文 方式 传输 ,以 免 被 监听 截取。 

密码 不 得 以 明文 方式 存放 在 系统 中 ,确保 密码 以 加 密 的 形式 写 在 硬盘 上 ,并 且 确 保 包 含 
密码 的 文件 是 只 读 的 。 

密码 应 定期 修改 ,应 避免 重复 使 用 旧 密 码 ,应 采用 多 套 密码 的 命名 规则 。 

创建 账号 锁定 机 制 。 一 旦 同一 个 账号 密码 出 现 校 验 错误 若干 次 ,应 立即 断 开 连 接 并 锁 
定 该 账号 ,经 过 一 段 时 间 再 解锁 。 

由 网 络 管理 员 设置 一 次 性 密码 ,用 户 在 下 次 登录 时 必须 更 换 新 的 密码 。 

2. 更 改 Administrator 账户 名 称 

安装 Windows Server 2008 系统 后 ,默认 会 自动 创建 一 个 系统 管理 员 账 户 , 即 
Administrator。 许 多 用 户 为 了 一 时 方便 ,就 直接 将 其 用 做 自己 的 系统 管理 员 账 户 , 因 此 , 许 
多 黑客 攻击 服务 器 时 总 是 试图 破解 Administrator 账户 的 密码 ,如 果 密 码 安全 性 不 高 ,就 
很 容易 破解 。 通 常情 况 下 ,可 以 通过 更 改 管理 员 账 户 名 称 来 避免 此 类 攻击 ,提高 系统 安 
全 性 。 

更 改 本 地 计算 机 Administrator 账户 名 的 方法 如 下 。 

以 Administrator 账户 登录 本 地 计算 机 后 ,选择 [开始 >【 管 理工 具 】>【 计 算 机 管理 ] 命 
令 , 打 开 [ 计 算 机 管理 窗口 ,展开 【系统 工具 】 一 【本 地 用 户 和 组 一 【用 户 】 选 项 , 右 击 
Administrator 账户 选项 并 在 弹出 的 快捷 菜单 中 选择 【 重 命名 命令 ,输入 新 的 账户 名 称 即 可 。 
设置 新 的 账户 名 称 时 ,尽量 不 要 使 用 Admin、master、guanliyuan 之 类 的 名 称 , 这 些 名 称 都 是 
黑客 优先 试探 的 用 户 名 ,否则 账户 安全 性 同样 没有 任何 保障 。 

3. 创建 陷阱 账户 

所 谓 陷 阱 账户 ,就 是 名 称 与 默认 管理 员 账 户 名 称 (Administrator) 类 似 或 完全 相同 ,而 
权限 却 极 低 的 用 户 账户 。 这 种 方法 通常 和 “更 改 Administrator 账户 名 称 ” 配 合 使 用 ,即将 系 
统管 理 员 账户 更 名 后 ,再 创建 一 个 名 称 为 Administrator 的 陷阱 账户 。 

A 课业 任务 6-1 

Bob 是 WYL 公司 的 网 络 管理 员 ,公司 服务 器 安装 的 是 Windows Server 2008 操作 系 
统 , 为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 更 改 了 Administrator 账户 名 称 ,并 创建 了 一 个 
名 称 为 Administrator 的 陷阱 账户 。 

具体 操作 步骤 如 下 : 

CD 在 【新 用 户 】 对 话 框 中 创建 一 个 名 称 为 Administrator 的 用 户 账户 (如 果 原 有 管理 员 
账户 没有 被 更 名 , 则 可 以 创建 一 个 名 称 类 似 的 账户 ,如 Admin 等 ) ,并 输入 一 个 复杂 程度 极 高 
的 安全 密码 ,选择 [密码 永 不 过 期 ] 复 选 框 , 单 击 【创建 3 按钮 即 可 创建 该 账户 ,如 图 6.5 所 示 。 
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6.5 创建 陷阱 账户 


(2) 将 其 从 Users 组 中 删除 , 即 可 避免 其 继承 来 自 Users 组 的 用 户 权限 ,打开 陷阱 账户 
Administrator 的 属性 对 话 框 , 单 击 【 隶 属于 选项 卡 ,选中 Users 并 单 击 【删除 按钮 ,最 后 单 
击 【确定 了 按钮 保存 ,如 图 6.6 所 示 。 
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6.6 将 陷阱 账户 从 Users 组 中 删除 


(3) 在 所 有 磁盘 分 区 的 NTFS 权限 列表 中 一 一 删除 陷阱 账户 的 各 种 权限 ,使 其 不 具备 
任何 操作 权限 ,即使 被 次 用 也 无 法 进行 任何 破坏 操作 。 双 击 陷阱 账户 ,弹出 用 户 账户 属性 对 
话 框 ,将 其 各 种 权限 设置 为 最 低 , 例 如 删除 陷阱 用 户 的 远程 控制 权限 ,如 图 6. 7 所 示 , 最 后 单 
击 【确定 了 按钮 保存 设置 。 
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6.7 限制 陷阱 账户 的 权限 


6.2 Windows 2008 文件 系统 的 安全 


在 NTFS 磁盘 中 ,系统 会 自动 设置 默认 的 权限 ,并 且 这 些 权限 会 被 其 子 文件 夹 和 文件 
所 继承 。 为 了 控制 用 户 对 某 个 文件 夹 及 该 文件 夹 中 的 文件 和 子 文件 夹 的 访问 ,就 需 指 定 文 
件 夹 权 限 。 不 过 要 设置 文件 或 文件 夹 的 权限 ,必须 是 Administrators 组 的 成 员 、 文 件 / 文 件 
夹 的 所 有 者 、 具 备 完全 控制 权限 的 用 户 。 


6.2.1 NTFS 文 件 夫 /文件 权限 


Windows 文件 夹 默认 有 一 些 权限 设置 ,这 些 设 置 是 从 父 文 件 夹 (或 磁盘 ) 所 继承 的 。 例 
如 ,如 图 6.8 所 示 , 灰 色 阴影 对 钩 的 权限 就 是 继承 的 权限 ,这 些 权 限 不 能 在 这 里 直接 修改 。 

要 更 改 权限 ,只 需 在 如 图 6. 8 所 示 的 用 户 组 的 权限 列表 框 中 选中 [允许 3 或 【拒绝 ] 复 选 
框 即 可 。 如 果 要 给 其 他 用 户 指派 权限 ,可 从 本 地 计算 机 上 添加 拥有 对 该 文件 夹 访问 和 控制 
权限 的 用 户 或 用 户 组 ,用 户 组 中 的 用 户 将 拥有 和 用 户 组 同样 的 权限 。 不 过 ,新 添加 用 户 的 权 
限 不 是 从 父 项 继承 的 ,因此 ,它们 的 所 有 的 权限 都 可 以 被 修改 。 

文件 权限 的 设置 与 文件 夹 的 设置 方式 相似 ,在 文件 的 属性 对 话 框 中 ,通过 【安全 选项 卡 
便 可 为 其 设置 权限 。 


6.2.2 文件 权限 的 继承 性 


默认 情况 下 ,为 父 文件 夹 指定 的 权限 会 被 其 所 包含 的 子 文件 夹 和 文件 继承 。 当 然 , 也 可 
根据 需要 限制 这 种 权限 继承 。 

1. 权限 继承 

文件 和 子 文件 夹 从 它们 的 父 文 件 夹 继承 权限 ,为 父 文件 夹 指 定 的 任何 权限 都 适用 于 该 
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图 6.8 文件 夹 权 限 


父 文件 夹 所 包含 的 子 文件 夹 和 文件 。 当 为 一 个 文件 夹 指定 NTFS 权限 时 ,不 仅 为 该 文件 夹 
及 其 中 所 包含 的 文件 和 子 文件 夹 指 定 了 权限 ,同时 也 为 在 该 文件 夹 中 创建 的 所 有 新 文件 和 
文件 夹 指定 了 权限 。 默 认 状 态 下 ,所 有 文件 夹 和 文件 都 从 其 父 文件 夹 继承 权限 。 

2. 禁止 权限 继承 

可 以 禁止 指定 给 一 个 父 文件 夹 的 权限 被 这 个 文件 夹 中 所 包含 的 子 文件 夹 和 文件 继承 。 
也 就 是 说 , 子 文件 夹 和 文件 不 会 继承 给 包含 它们 的 父 文件 夹 的 权限 。 被 禁止 继承 权限 的 文 
件 夹 变 成 新 的 父 文件 夹 ,为 该 文件 夹 指定 的 权限 将 会 被 它 所 包含 的 任何 子 文件 夹 和 文件 


6.2.3 共享 文件 夫 权 限 管理 


1. 共享 权限 和 NTFS 权限 

共享 权限 有 3 种 : 读者 、 参 与 者 .所 有 者 。 共 享 权 限 只 对 从 网 络 访问 该 文件 夹 的 用 户 起 
作用 ,对 本 机 登录 的 用 户 不 起 作用 。 

NTFS 权限 是 Windows NT 和 Windows 2000, Windows 2003 及 Windows 2008 中 的 
文件 系统 , 它 支 持 本 地 安全 性 。 换 句 话 说 ,在 同一 台 计 算 机 上 以 不 同 的 用 户 名 登录 ,对 硬盘 
上 同一 文件 夹 可 以 有 不 同 的 访问 权限 。NTFS 权限 对 从 网 络 访问 和 本 机 登录 的 用 户 都 起 
作用 。 

2. 共享 权限 和 NTFS 权限 的 联系 和 区 别 

共享 权限 是 基于 文件 夹 的 ,也 就 是 说 只 能 够 在 文件 夹 上 设置 共享 权限 ,不 能 在 文件 上 设 
置 共享 权限 。NTFS 权限 是 基于 文件 的 ,用 户 既 可 以 在 文件 夹 上 设置 ,也 可 以 在 文件 上 
设置 。 

对 于 共享 权限 ,只 有 当 用 户 通 过 网 络 访问 共享 文件 夹 时 才 起 作用 ; 如 果 通 过 本 地 登录 


计算 机 , 则 共享 权限 不 起 作用 。 对 于 NTFS 权限 ,无论 用 户 是 通过 网 络 还 是 本 地 登录 都 会 
起 作用 ,只 不 过 当 用 户 通过 网 络 访问 文件 时 会 与 共享 权限 联合 起 作用 ,规则 是 取 最 严格 的 权 
限 设置 。 

共享 权限 与 文件 操作 系统 无 关 , 只 要 设置 共享 就 能 够 应 用 共享 权限 。NTFS 权限 必须 
是 NTFS 文件 系统 ,否则 不 起 作用 。 

共享 权限 只 有 几 种 : 读者 、 参 与 者 .所 有 者 。NTFS 权限 有 多 种 ,如 读 、 写 .执行 、 修 改 、 
完全 控制 等 ,可 以 进行 非常 细致 的 设置 。 

3 课业 任务 6-2 

WYL 公司 的 文件 服务 器 安装 的 是 Windows Server 2008 操作 系统 ,服务 器 D 盘 使 用 
NTFS 格式 。 现 要 求 网络 管 理 员 在 D 盘 创 建 一 个 共享 文件 夹 ,命名 为 【开发 部 文件 夹 】, 并 
通过 设置 合适 的 NTFS 权限 和 共享 权限 ,使 开发 部 的 员工 能 够 通过 网 络 在 【开发 部 文件 夹 】 
内 创建 自己 的 文件 夹 , 以 用 于 保存 个 人 的 文件 。 每 个 员工 对 自己 的 文件 夹 有 完全 控制 权限 ， 
但 不 能 访问 别 的 员工 提交 的 文件 夹 和 文件 。Bob 和 Tom 都 是 开发 部 的 员工 ,开发 部 的 用 户 
组 是 [R&D Department]. 

具体 操作 步骤 如 下 : 

CD 网 络 管理 员 在 文件 服务 器 的 D 盘 根 目 录 下 创建 文件 夹 【开发 部 文件 夹 】, 右 击 该 文 
件 夹 ,在 弹出 的 快捷 菜单 中 选择 【属性 了 命令 。 


(2) 在 弹出 的 [开发 部 文件 夹 属性 ] 对 话 框 中 ,选择 [安全 选项 卡 , 单 击 【 高 级 按钮 ,如 
图 6.9 所 示 。 


xi 
常规 | 共享 安全 | 以 前 的 版 本 | 自 定义 | 
对 象 名 称 。 0:\ 开 发 部 文件 夫 


组 或 用 户 名 (6) 
CREATOR OWNER 
Ma system 
Hi Administrators (NIN2008 MAdainistratorz) 
ÅR Users (NIR2008 sers) 
要 更 次 权 限 ， 请 单 击 “ 编 辑 ”。 编辑 EE) 


Bi uo ins 


wa | ems 


图 6.9 单 击 【 高 级 按钮 


G) 在 弹出 的 [开发 部 文件 夹 的 高 级 安全 设置 对话 框 中 单 击 【编辑 3 按钮 ,如 图 6. 10 
所 示 。 

(4) 在 弹出 的 [开发 部 文件 夹 的 高 级 安全 设置 对话 框 中 取消 选择 【包括 可 从 该 对 象 的 
父 项 继承 的 权限 ] 复 选 框 ,取消 该 文件 夹 继承 的 权限 ,是 为 了 修改 继承 的 权限 ,默认 情况 下 继 
承 的 权限 不 能 更 改 ,如 图 6. 11 所 示 。 


Windows 2008 RMH Z ££ $5 4 


dos 


网 络 安 会 项 太 与 实践 


xi 
SUR [mee | 所 有 者 | 有 效 权限 | 
要 查看 或 护 覃 权限 项 目的 详细 信息 ， 请 选择 该 顶 目 并 单 击 “编辑 ”。 
REN D:\ 开 发 部 文件 夫 


Administrators ÙI 只有 该 文 件 
Administrators (VI. 该 文件 夹 


允许 SYSTEN 完全 控制 ， 子 文件 来 
允许 CREATOR OWNER 特殊 p^ 只 有 子 文件 夹 及 文件 
允许 Users (IIN2008\Ussars) ” 读 取 和 执行 p 该 文件 夹子 文件 来 
允许 Users (WIN2006\Users) 特殊 DA 该 文件 夹 及 子 文件 来 


bu 
F Busse 


SIOREHRUR T) 


图 6.10 单 击 [编辑 了 按钮 


B FERLAK MERREN xi 


wm | 
要 查看 或 编辑 权限 项 目的 详细 信息 ， 请 选择 该 项 目 并 单 击 “ 编 辑 ”* 


GREW: “0;\ 开 发 部 文件 夫 
权限 项 目 D: 


文件 夹 
允许 CREATOR OWNER 特殊 DA 只 有 子 文件 夹 及 文件 
允许 Users (IN2009 sers) ”该 取 和 执行 DA BLUR, FR. 
允许 Users (WIN2008\Users) HR DA NRERIN 

FMD). | BB. WRR 
F EEA RRRA CESDRBSHRUR D 
Ses HERRIRA E EUEIKI c) 
管理 权限 项 目 


图 6.11 取消 文件 夹 继承 权限 


(5) 在 弹出 的 [Windows 安全 】 对 话 框 中 单 击 【 复 制 ] 按 钮 ,这 样 就 将 继承 的 权限 复制 为 
【开发 部 文件 夹 3 的 权限 ,权限 便 可 以 修改 了 ,如 图 6.12 所 示 。 

(6) 如 图 6. 13 所 示 , 可 以 看 到 现在 的 这 些 权 限 显示 为 【不 是 继承 的 】 ,分 别 选中 两 个 
Users 的 权限 , 单 击 【 删 除 ] 按 钮 。 

CT) 如 图 6. 14 所 示 , 选 择 CREATOR. OWNER. 单 击 【 编 辑 ] 按 钮 ,可 以 看 到 CREATOR. 
OWNER 组 的 权限 只 应 用 到 子 文件 夹 和 文件 ,并 且 是 完全 控制 的 。 这 就 意味 着 ,用 户 Bob 
或 Tom 在 [开发 部 文件 夹 3 中 创建 一 个 文件 夹 后 ,他 就 是 这 个 文件 夹 的 创建 者 ,对 文件 夹具 
有 完全 控制 权 。 


xi 
JEIGERETGREETBIDUNSIRREUTBEREhEUR 


d CEBSUUNEISIBSIERIRE AGOREISUGUR. iai “复制 ”。 
ROMERO NETUSUINAEUESRNIUUHWES QR 
-要 取消 此 操作 ， 请 单 击 “取消”。 


Lano | mem 取消 


6.12 复制 继承 的 权限 


wm | 
要 查看 或 编辑 可 限 项 目的 详细 信息 ， 请 选择 该 项 目 并 单 击 “ 编 辑 ”。 
对 象 名 称 : D:\ 开 发 部 文件 夹 


pama: 
IE: [ER 二 

Administrators OT 完 BIR FXE 

BR, 子 文件 到 


只 有 子 文件 夹 及 文件 
i: xi 


30... | IRR Œ)... 一 


厂 包括 可 从 该 对 象 的 父 项 继承 的 权限 0D. 
厂 使 用 可 从 此 对 象 继承 的 权限 普 换 所 有 后 代 上 现 有 的 所 有 可 继承 权限 P) 


图 6.13 删除 非 继 承 的 权限 


LEEEERTTE 
wm | 
要 查看 或 编辑 权限 项 目的 详细 信息 ， 请 选择 该 项 目 并 单 击 “ 编 辑 ”。 
对 象 名 称 : DA\ 开 发 部 文件 来 
权限 项 目 C: 


允许 Administrators (WT 完全 控制 < 坏 是 继承 的 > RUHR FLR 
t > 该 文件 : 件 夹 
二 有 二 


添加 om) | Ld. 


厂 包括 可 从 该 对 象 的 父 项 继承 的 权限 0D 
厂 使 用 可 从 此 对 象 继承 的 权限 革 换 所 有 后 代 上 现 有 的 所 有 可 继承 权限 P) 


图 6.14 编辑 CREATOR OWNER 的 权限 


moss 
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(8) 如 图 6.15 所 示 的 [开发 部 文件 夹 的 高 级 安全 设置 对 话 框 中 单 击 【 添 加 按钮 ,在 弹 
出 的 [选择 用 户 和 组 ] 对 话 框 中 选择 用 户 组 R&D Department, 单 击 【 确 定 ] 按 钮 。 


用 开发 部 文件 夫 的 高 级 安全 设置 x 


aR | 
要 查看 或 编辑 权限 项 目的 详细 信息 ， 请 选择 该 项 目 并 单 击 “ 编 辑 ”* 
HRE: 0 DSVPEBXPER 


权限 项 目 (D: 

允许 Administrators (HI. 完全 控制 不 是 继承 的 > EUR FHR. 
允许 SYSTEN 完全 控制 《不 是 继承 的 > 该 文件 夹子 文件 来 
人 允许。 CEEATOR OWNER 特殊 剑 是 继承 的 > 只 有 子 文件 夹 及 文件 
si | wem | 

厂 包括 可 从 该 对 象 的 父 项 继承 的 权限 区) 


厂 使 用 可 从 此 对 象 继承 的 权限 若 换 所 有 后 代 上 现 有 的 所 有 本 继承 权限 P) 


图 6.15 添加 新 的 NTFS 权限 


(9) 在 弹出 的 [开发 部 文件 夹 的 权限 项 目 ] 对 话 框 中 选择 【应 用 于 3 为 【只 有 该 文件 夹 】 
选项 ,这 就 意味 着 ,R&D Department 组 只 能 够 列 出 和 读 取 【开发 部 文件 夹 ] 文 件 夹 的 内 容 ， 
并 可 以 在 其 中 创建 文件 夹 和 文件 ,但 是 对 其 中 的 子 文件 夹 和 文件 没有 授予 读 的 权利 ,如 
图 6. 16 所 示 。 

(10) 单 击 【确定 按钮 ,完成 授权 。 

OD 设置 共享 [开发 部 文件 夹 〗, 设 置 共享 名 为 share, 并 设置 仅 R&D Department 组 有 
完全 控制 权限 ,如 图 6. 17 所 示 。 


xi 
» | zi 
共享 权限 

ERON: fent T2006WRAD Department) EPR C)... m 

GAFO [RARR zi BAD Department (WINZOOS\RAD Department) 

qRO: 允许 Ee 
完全 控制 口 n E 
遍历 文件 夹 /执行 文件 口 口 
列 出 文件 夹 / 读 取 数 据 m n 
读 取 属性 口 口 3850)... WRR | 
读 取 扩展 属性 n n R 
创建 文件 / 瑟 入 数据 口 RD Department AJR P) 允许 拒绝 
创建 文件 夫 / 附 加 数据 m n 完全 控制 m n 
写 入 属性 口 口 Be n 
写 入 扩展 属性 口 口 读 取 口 
MEFFRE o n 
Ws n n s 

液 此 机 限 应 用 到 了 容器 中 的 对 
r pa e E E SPEM OD 
管理 权限 


图 6.16 文件 夹 权限 项 目 图 6.17 共享 [开发 部 文件 夹 3 设 置 


(12) 测试 。 在 另 一 台 计算 机 上 访问 share 共享 文件 夹 ,用 Bob 登录 ,创建 文件 夹 ,命名 
为 【Bob 的 文件 夹 】 ,并 对 该 文件 夹 进行 创建 和 删除 文件 的 操作 。 然 后 Tom 登录 ,也 创建 一 
个 文件 夹 , 命 名 为 [Tom 的 文件 夹 】 ,同样 可 以 对 这 个 子 文件 夹 进行 完 全 控制 。 但 是 ,Bob 和 
Tom 都 不 能 打开 别人 的 文件 夹 。 


6.2.4 设置 隐藏 共享 


为 了 安全 性 ,常常 需要 把 共享 文件 夹 隐藏 起 来 ,只 有 知道 共享 名 的 用 户 才能 访问 。 如 果 
要 把 上 面 的 share 共享 改 成 隐藏 共享 ,只 需要 在 创建 共享 时 ,在 共享 名 后 面 加 上 $ 号 即 可 。 
访问 隐藏 共享 时 ,也 要 在 服务 器 地 址 后 加 上 带 $ 号 的 共享 名 。 

具体 操作 步骤 如 下 : 

CD 以 管理 员 的 身份 登录 文件 服务 器 ,在 D 盘 根 目录 的 【5 开发 部 文件 夹 3 上 右 击 ,在 弹出 
的 快捷 菜单 中 选择 [属性 命令。 

(2) 在 弹出 的 [开发 部 文件 夹 属性 】 对 话 框 中 ,选择 【共享 3 选项 卡 , 单 击 【高 级 共享 】 
按钮 。 

(3) 在 弹出 的 【高 级 共享 ]3 对 话 框 中 单 击 [ 添 加 按钮 。 

(4) 在 弹出 的 [新建 共享 3 对 话 框 中 ,在 【共享 名 文本 框 中 输入 “share$ ”, 单 击 【确定 ] 按 
钮 ,如 图 6.18 所 示 。 

(5) 返回 【高 级 共享 对 话 框 ,删除 share 共享 名 , 留 下 share$ 共享 。 设置 共享 权限 后 ， 
单 击 【确定 了 按钮 ,如 图 6. 19 所 示 。 


将 同时 共享 的 用 户 数 量 限制 为 0 : herrez 
x ERI 
BERG: [siars o C3 
Hito) P | 
RNR — — — —| 8o —smo | seo | 
C Bem 


C ftHFIDRIPSRRIB 00: z | 


—s | w | sm | 
图 6.18 新 建 隐藏 共享 图 6.19 设置 隐藏 共享 


(6) 在 另 一 台 计算 机 访问 文件 服务 器 共享 时 ,看 不 到 share $ 共享 文件 夹 。 
(7) 访问 隐藏 的 共享 文件 夹 , 必 须 输入 共享 名 “\\192. 168. 1. 2\share$ ”, 如 图 6. 20 
所 示 。 


6.2.5 取消 默认 共享 


默认 共享 是 为 管理 员 管理 服务 器 方便 而 设置 的 ,其 权限 不 能 更 改 。 默 认 共享 包含 所 有 
分 区 ,只 要 知道 服务 器 的 管理 员 账 号 和 密码 ,就 可 以 通过 网 络 访问 服务 器 的 所 有 分 区 ,这 是 
非常 危险 的 ,所 以 一 般 都 要 把 这 些 默 认 共 享 取消 。 


Bos 
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图 6.20 访问 隐藏 共享 


具体 操作 步骤 如 下 : 
CD 在 文件 服务 器 上 打开 DOS 窗口 ,输入 “net share” 命 令 , 可 以 查看 该 服务 器 所 有 的 共享 
资源 。 如 图 6.21 所 示 , 可 以 看 到 C 盘 和 DD 盘 已 经 被 设置 为 名 为 C$ 和 DS$ 的 默认 共享 。 


图 6.21 在 DOS 窗 口中 查看 所 有 共享 资源 


(2) 在 客户 机 访问 文件 服务 器 的 默认 共享 ,输入 管理 员 账 号 后 ,C 盘 的 所 有 资源 都 可 以 
被 完全 控制 ,这 是 非常 危险 的 。 如 图 6. 22 和 图 6. 23 所 示 ,必须 输入 服务 器 的 管理 员 账 号 和 
密码 ,只 有 管理 员 账 号 才能 够 访问 默认 共享 。 
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图 6.22 输入 管理 员 账 号 和 密码 


多 c$ 在 192.168.1.2 上 
XO REO EEV KEW IAW 帮助 0 
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图 6.23 访问 C 盘 默 认 共享 


G) 选择 [开始 】>【 运 行 ] 命 令 , 输 入 “regedit”, 单 击 【 确 定 ] 按 钮 。 

(4) 如 图 6. 24 所 示 , 打 开 注 册 表 编辑 器 。 在 HKEY_LOCAL_MACHINE\System\ 
CurrentControlSet\Services\LanmanServer\Parameters 下 新 建 REG_DWORD 值 ,输入 名 
Ti" AutoShareServer", 


MES ESS 
XEF) WEO FEV WERO 帮助 0 
日 LamasServer 
Í Aliases ab) GO 
$ AutotunedParameters — | $iAdjustedNullS. 
$ DefaultSecurity Sj antodi sconnect 
$3) enabl ofor ced. 


browser 
000000000 
000000001 
SSystenRoo 
000000001. 
0x00000003 


11tdsve 
lnhosts 
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o] 
ES 


|| megasas 
mach 


肝 算 机 WOGY_LOCAL NACHINEVSTSTENM Curr entControlSet Servi ces Vana anServer Var aneters 


图 6.24 在 注册 表 中 新 建 REG DWORD fü 


(5) 如 图 6. 25 所 示 ,双击 刚才 创建 的 项 ,在 弹出 的 对 话 框 中 的 “数值 数据 ?文本 框 中 输 
和 “0”, 停 止 默认 磁盘 共享 。 

(6) 如 果 要 禁止 Admin $ 的 默认 共享 ,可 以 在 注册 表 的 以 下 位 置 HKEY_LOCAL_ 
MACHINE\System\CurrentControlSet\ Services\LanmanServer\Parameters 新 建 名 称 为 
AutoShareWKks, 设 置 键 值 为 0, 方 法 跟 禁 止 默认 磁盘 共享 的 方法 相同 ,如 图 6. 26 所 示 。 
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6.26 禁止 Admin$ 默认 共享 


(7) 重启 系统 。 
(8) 再 次 查看 默认 共享 , 则 已 经 被 删除 。 


6.2.6 文件 的 加 密 与 解密 


设置 NTFS 权限 和 共享 权限 ,并 不 能 保证 所 有 情况 下 的 数据 安全 ,例如 计算 机 拿 去 维 
修 或 者 丢失 的 情况 下 ,其 他 人 有 机 会 接触 到 硬盘 的 时 候 , 完 全 可 以 把 计算 机 的 硬盘 挂 在 另 一 
台 能 识别 NTFS 分 区 的 系统 上 ,这 样 所 有 的 数据 都 将 泄露 。NTFS 分 区 所 具有 的 加 密 文件 
系统 (Encrypting File System,EFS) 提 供 了 解决 这 个 问题 的 方法 。EFS 提供 文件 加 密 的 功 
能 ,文件 经 过 加 密 后 ,只 有 当初 将 其 加 密 的 用 户 或 被 授权 的 用 户 才 能 够 读 取 , 因 此 可 以 提高 
文件 的 安全 性 。 如 果 采 用 了 EFS 加 密 , 即 使 把 硬盘 挂 接 到 其 他 操作 系统 上 ,也 无 法 读 取 
EFS 加 密 过 的 文件 。 


A 课业 任务 6-3 

Bob fil Tom 都 是 WYL 公司 开发 部 的 员工 ,他 们 的 工作 文档 都 保存 在 D 盘 的 【开发 部 
文件 夹 3 目 录 下 。 为 了 保证 这 些 文档 的 安全 ,他 们 要 对 自己 的 个 人 文件 夹 设 置 EFS 加 密 ,并 
备份 密 钥 到 安全 的 地 方 。 

具体 操作 步骤 如 下 : 

CD 用 Bob 账号 登录 系统 , 右 击 D 盘 中 的 【Bob 的 文件 夹 】, 在 弹出 的 快捷 菜单 中 选择 
【属性 了 命令 ,在 弹出 的 [Bob 的 文件 夹 属性 ] 对 话 框 中 单 击 【高 级 按钮 ,在 弹出 的 【高 级 属 
性 对 话 框 中 选择 【加密 内 容 以 便 保护 数据 3 复 选 框 , 单 击 【确定 按钮 ,如 图 6. 27 所 示 。 

(2) 在 【Bob 的 文件 夹 属性 对话 框 中 单 击 【确定 3 按钮 ,在 弹出 的 [确认 属性 更 改 ] 对 话 
框 中 选择 [将 更 改 应 用 于 此 文件 夹子 文件 夹 和 文件 ] 单 选 按钮 , 单 击 【 确 定 ] 按 钮 , 即 完成 了 
文件 夹 的 EFS 加密, 如 图 6. 28 所 示 。 如 果 选 择 [ 仅 将 更 改 应 用 于 此 文件 夹 ] 单 选 按钮 , 则 以 
后 在 此 文件 夹 内 新 建 的 文件 、 子 文件 夹 与 子 文件 夹 内 的 文件 都 会 被 自动 加 密 , 但 是 并 不 会 影 
响 到 此 文件 夹 内 现 有 的 文件 与 文件 夹 。 如 果 选 择 【[ 将 更 改 应 用 于 此 文件 夹 、 子 文件 夹 和 文 
件 了 单 选 按钮 , 则 不 但 以 后 在 此 文件 夹 内 新 建 的 文件 . 子 文件 夹 和 子 文件 夹 内 的 文件 都 会 被 
自动 加 密 , 同 时 会 将 已 经 保存 在 此 文件 夹 内 的 现 有 文件 、 子 文件 夹 和 子 文件 夹 内 的 文件 一 起 
加 密 。 
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取消 
图 6.27 设置 文件 夹 加 密 图 6.28 确认 属性 更 改 


注意 : 当 用 户 或 应 用 程序 要 读 取 加 密 文件 时 ,系统 会 将 文件 自动 解密 后 提供 给 用 户 
或 应 用 程序 ,然而 存储 在 磁盘 内 的 文件 仍然 处 于 加 密 的 状态 ; 而 当 用 户 或 应 用 程序 要 将 
文件 写 入 磁盘 时 ,它们 会 被 自动 加 密 后 写 入 磁盘 内 。 这 些 操作 都 是 自动 的 ,完全 不 需要 
用 户 介 入 。 如 果 将 一 个 未 加 密 的 文件 移动 或 复制 到 加 密 文 件 夹 中 , 则 该 文件 会 被 自动 加 
密 。 当 用 户 将 一 个 加 密 文 件 移动 或 复制 到 非 加 密 文 件 夹 中 , 则 该 文件 仍然 会 保持 其 加 密 

G) 备份 EFS 证 书 。 第 一 次 加 密 文件 时 ,在 桌面 右 下 角 有 个 【备份 文件 加 密 密 钥 了 的 提 
示 图 标 ,首先 单 击 图 标 打 开 证 书 导 出 向 导 , 然 后 只 需 一 步 步 单 击 【 下 一 步 ] 按 钮 即 可 完成 
EFS 证 书 的 备份 。 关 键 步骤 如 下 : 

。 输入 用 于 保护 私 钥 的 密码 。 

。 单 击 【浏览 按钮 ,选择 证 书 保存 位 置 , 输 入 证 书 文件 名 ,如 图 6. 29 所 示 。 
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图 6. 29 输入 证 书 文 件 名 


注意 : 也 可 以 利用 证 书 管理 控制 台 来 备份 EFS 证 书 , 方 法 是 选择 [开始 】- 江 运行 】 命 
令 , 输 入 *CERTMGR.MSC”, 在 打开 的 窗口 中 选择 [个 人 】>【 证 书 〗 选 项 ,在 右边 窗口 的 证 
书 名 上 右 击 , 在 弹出 的 快捷 菜单 中 选择 【所 有 任务 >【 导 出 命令 ,出 现 证 书 导出 向 导 , 以 后 
的 操作 步骤 与 上 面 的 相同 。 


6.3 Windows 2008 主机 的 安全 


配置 操作 系统 的 本 地 安全 策略 ,可 以 使 操作 系统 更 安全 。 设 置 服务 器 的 用 户 密 码 策 略 、 
账户 锁定 策略 ,可 对 用 户 的 密码 长 度 和 复杂 度 进行 强制 要 求 。 设 置 审核 策略 ,可 记录 和 跟踪 
服务 器 的 入 侵 行为 。 通 过 本 地 组 策略 管理 用 户 和 计算 机 ,可 以 管理 用 户 和 计算 机 的 行为 , 比 
如 禁止 用 户 修改 注册 表 , 配 置 计算 机 跟踪 用 户 登 录 情 况 等 设置 。 安 全 策略 是 影响 计算 机 安 
全 性 的 安全 设置 的 组 合 。 


6.3.1 账户 策略 


账户 策略 是 服务 器 安全 首先 要 考虑 的 ,无 论 操作 系统 多 么 安全 ,如 果 服 务 器 的 管理 员 密 
码 被 人 侵 者 很 容易 猜 到 ,安全 就 无 从 谈 起 。 账 户 策略 包括 两 个 方面 的 设置 : 密码 策略 和 账 
户 锁定 策略 。 

1. 密码 策略 

密码 策略 可 强制 服务 器 上 的 用 户 账户 设置 的 密码 满足 安全 要 求 ,防止 用 户 将 自己 的 密 
码 设置 得 过 短 或 太 简单 。 

如 图 6. 30 所 示 , 以 管理 员 的 身份 登录 计算 机 ,选择 [开始 >【 程 序 】>【 管 理工 具 】>【 本 
地 安全 策略 】 命 令 ,在 弹出 的 [本 地 安全 策略 】 窗 口中 选择 【账户 策略 了 并 密码 策略 ] 选 项 ,在 
右边 的 详细 信息 列表 中 就 可 以 对 密码 策略 进行 详细 的 安全 设置 了 。 
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6.30 设置 密码 策略 


2. 账户 锁定 策略 

如 果 将 服务 器 放 到 Internet 上 或 暴露 在 开放 的 网 络 环境 中 ,入 侵 者 可 以 猜测 服务 器 管 
理 员 的 密码 ,为 了 防止 其 他 人 无 数 次 猜测 计算 机 用 户 账户 的 密码 ,以 管理 员 的 身份 登录 计算 
机 ,选择 [开始 【程序 ]>【 管 理工 具 】>【 本 地 安全 策略 3 命令, 在 弹出 的 [本 地 安全 策略 ] 徐 


口中 选择 [账户 策略 【账户 锁定 策略 3 选项 , 则 在 右边 的 详细 信息 列表 中 就 可 以 设置 账户 
锁定 策略 了 ,如 图 6. 31 所 示 。 
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6.31 设置 账户 锁定 策略 


6.3.2 本 地 策略 


1. 审核 策略 

安全 审核 对 于 任何 企业 系统 来 说 都 极其 重要 ,因为 只 有 通过 审核 日 志 才能 说 明 是 否 发 
生 了 违反 安全 的 事件 。 如 果 通 过 其 他 方式 检测 到 了 入 侵 , 则 审核 设置 所 生成 的 审核 日 志 
记录 有 关 入 侵 的 重要 信息 。 

以 管理 员 的 身份 登录 计算 机 ,选择 [开始 ]>【 程 序 ]=>【 管 理工 具 】>【 本 地 安全 策略 ] 命 
令 , 在 弹出 的 [本 地 安全 策略 了 窗口 中 选择 [本 地 策略 了 并 审核 策略 选项 ,在 右边 的 详细 信息 
列表 中 就 可 以 看 到 能 够 设置 的 审核 项 了 ,如 图 6. 32 所 示 。 

3i 课业 任务 6-4 

Bob 是 WYL 公司 的 网 络 管理 员 , 公 司 服务 器 安装 的 是 Windows Server 2008 操作 系 


Windows 2008 RMH f ££ $5 5 4 


dos 


BHAERAGJGK^5ExX 


文件 中 REW FEV 帮助 0 
和 哆 | 太 加 | 其 国 区 | 加 页 


2 网 络 列 夫 管 理 只 征 咯 


了 公 租 第 略 


6.32 设置 审核 策略 


统 。 为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 配置 服务 器 安全 策略 ,以 审核 登录 成 功 和 失 
败 , 这 样 可 以 在 安全 日 志 中 查看 登录 成 功 和 失败 的 记录 。 审 核 登录 事件 ,可 以 发 现 黑客 的 人 
侵 行 为 。 

课业 任务 6-4 的 具体 操作 步骤 如 下 : 

CD 在 如 图 6. 32 所 示 的 窗口 中 双击 【审核 策略 更 改选 项 ,在 弹出 的 【审核 策略 更 改 属 
性 对 话 框 中 选择 [成 功 ] 和 【失败 ] 复 选 框 , 即 Bob 在 服务 器 上 配置 本 地 安全 策略 ,启用 审核 
登录 事件 ,完成 后 单 击 【 确 定 ] 按 钮 ,如 图 6. 33 所 示 。 
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图 6.33 启用 审核 登录 事件 


(2) 注销 当前 用 户 , 输 入 一 次 错误 密码 后 登录 ,再 输入 正确 的 用 户 密 码 后 登录 。 

(3) 打开 【事件 查看 器 了 窗口 查看 安全 日 志 , 可 以 看 到 登录 成 功 和 失败 的 记录 .如 图 6. 34 
所 示 。 

A 课业 任务 6-5 

Bob 是 WYL 公司 的 网 络 管理 员 ,公司 服务 器 安装 的 是 Windows Server 2008 操作 系 
统 , 为 了 保证 服务 器 的 安全 ,Bob 在 服务 器 上 配置 服务 器 审核 策略 ,审核 用 户 管理 ,这 样 创 建 
用 户 、 重 设 密码 、 启 用 用 户 ,将 用 户 添加 到 组 、 删 除 用 户 等 操作 都 将 记录 在 安全 日 志 。 

人 和 人 侵 者 利用 系统 或 服务 器 运行 的 软件 的 漏洞 入 侵 计算 机 ,然后 创建 一 个 用 户 ,把 该 用 户 


添加 到 管理 员 组 ,然后 使 用 该 用 户 登录 ,入 侵 完 成 后 ,将 该 用 户 删 除 。 
员 不 进行 审核 , 则 不 会 留 下 任何 人 侵 痕迹 。 
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6.34 查看 安全 日 志 


课业 任务 6-5 的 具体 操作 步骤 如 下 : 


CD 在 如 图 6. 32 所 示 的 窗口 中 双击 【审核 账户 管理 选项 ,在 弹出 的 【审核 账户 管理 属 
性 对 话 框 中 选择 【成功 ] 和 [失败] 复 选 框 , 即 Bob 在 服务 器 上 配置 本 地 安全 策略 ,启用 账户 
管理 成 功 和 失败 的 审核 ,如 图 6. 35 所 示 。 
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如 果 该 服务 器 的 管理 
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(2) 在 命令 提示 符 下 输入 “net user Bob passwordl !". Æi% Bob 用 户 的 密码 。 
(3) 打开 事件 查看 器 ,从 中 可 以 看 到 跟踪 的 重 设 密码 的 记录 ,如 图 6. 36 所 示 。 
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安全 ID: FILESERVERVAdministrator 

KAZ: Administrator H al 
日 志 名 称 (M): 安全 了 | 
338) Microsoft Windows secur 记录 时 间 (D): 2011/5/16 19:31:17 
事件 DO: 4724 ESSIN: 用 户 帐户 管理 
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RPU: EL 计算 机 (R): Fileserver 


6.36 密码 重 设 记录 


2. 用 户 权限 分 配 

用 户 权限 是 允许 用 户 在 计算 机 系统 或 域 中 执行 的 任务 。 有 两 种 类 型 的 用 户 权限 : 登录 
权限 和 特权 。 登 录 权 限 控制 为 谁 授予 登录 计算 机 的 权限 以 及 他 们 的 登录 方式 。 特 权 控制 对 
计算 机 上 系统 范围 的 资源 的 访问 ,并 可 以 覆盖 在 特定 对 象 上 设置 的 权限 。 登 录 权 限 的 一 个 
示例 是 在 本 地 登录 计算 机 的 权限 。 特 权 的 一 个 示例 是 关闭 系统 的 权限 。 这 两 种 用 户 权限 作 
为 计算 机 安全 设置 的 一 部 分 由 管理 员 分 配给 单个 用 户 或 组 。 

以 管理 员 的 身份 登录 计算 机 ,选择 [开始 】>【 程 序 ]>【 管 理工 具 】>【 本 地 安全 策略 ] 命 
令 , 在 弹出 的 [本 地 安全 策略 ] 窗 口中 选择 [本 地 策略 【用 户 权限 策 略 〗 选 项 ,在 右边 的 详细 
信息 列表 中 就 可 以 对 用 户 权限 进行 详细 的 安全 设置 了 ,如 图 6. 37 所 示 。 
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图 6.37 设置 用 户 权限 分 配 


$i 课业 任务 6-6 
Bob 是 WYL 公司 的 网 络 管理 员 ,为 了 保证 Bob 计算 机 的 安全 ,Bob 在 自己 的 计算 机 上 
配置 了 服务 器 审核 策略 ,审核 用 户 权 限 分 配 ,拒绝 ceshi 用 户 从 网 络 访问 他 的 计算 机 。 具 体 
操作 步骤 如 下 : 
CD 在 如 图 6. 37 所 示 的 窗口 中 双击 【拒绝 从 网 络 访问 这 台 计 算 机 3 选项 ,在 弹出 的 【 拒 
绝 从 网 络 访问 这 人 台 计 算 机 属性 对 话 框 中 单 击 【添加 用 户 或 组 了 按钮 ,添加 需要 拒绝 的 用 户 ， 
如 图 6. 38 所 示 。 
[EILITLESDLEIN NEN NN Áo 
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6.38 拒绝 从 网 络 访问 这 台 计 算 机 设置 


(2) Bob 在 自己 的 计算 机 设置 了 共享 文件 资源 。 
(3) 模拟 ceshi 用 户 从 网 络 中 访问 Bob 的 计算 机 ,出 现 如 图 6. 39 所 示 的 验证 身份 界面 
和 图 6. 40 所 示 的 提示 框 。 
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图 6. 39 验证 身份 
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1.2 无 法 访问 。 您 可 能 没有 权限 使 用 网 络 资源 。 请 与 这 台 服 务 器 的 管理 员 联系 以 查 明 妖 是 否 有 访 


ERAM: 未 授予 用 户 在 此 计算 机 上 的 请 求 登 录 类 型 。 


cE 


图 6.40 拒绝 访问 共享 资源 提示 框 


用 户 权限 分 配 有 很 多 , 比如 谁 能 够 关机 、 谁 能 够 更 改 系统 时 间 等 ,在 这 里 就 不 一 一 介 
aT. 

3. 安全 选项 

配置 服务 器 安全 选项 ,可 以 增强 服务 器 的 安全 性 ,例如 不 显示 上 一 次 登录 的 用 户 名 、 密 
码 为 空 的 用 户 只 允许 本 地 登录 、 只 允许 Guest 账户 访问 服务 器 共享 资源 等 设置 。 

以 管理 员 的 身份 登录 计算 机 ,选择 [开始 ]>【 程 序 】>【 管 理工 具 】>【 本 地 安全 策略 ] 命 
令 , 在 弹出 的 [本 地 安全 策略 ] 窗 口中 选择 [本 地 策略 ]>【 安 全 选项 〗 选 项 ,在 右边 的 详细 信息 
列表 中 就 可 以 看 到 所 有 的 安全 选项 设置 ,如 图 6. 41 所 示 。 
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图 6.41 本 地 安全 策略 的 安全 选项 


6.3.3 使 用 高 级 功能 的 防火 墙 


Windows Server 2008 内 置 的 高 级 功能 的 Windows 防火 墙 能 够 严格 控制 外 部 流量 进入 
服务 器 和 从 服务 器 流出 的 网 络 流量 。 用 户 可 以 创建 自 定义 的 入 站 规则 和 出 站 规则 ,严格 控 
制 出 入 服务 器 的 流量 ,从 而 增加 服务 器 的 安全 。 例 如 ,对 于 Web 服务 器 ,可 以 通过 配置 防火 
墙 ,从 而 允许 TCP 协议 目标 端口 是 80 的 数据 包 进 入 服务 器 ,以 及 TCP 协议 源 端 口 是 80 的 
数据 包 出 服务 器 ,实现 最 小 化 服务 ,提升 服务 器 安全 人 性。 

选择 [开始 >【 运 行 命 令 , 在 出 现 的 对 话 框 中 输入 “wf. msc”, 打 开 “ 高 级 安全 Windows 
防火 墙 ” 窗 口 ,如 图 6. 42 所 示 。 

在 如 图 6. 42 所 示 的 窗口 中 单 击 【 入 站 规则 选项 ,可 以 看 到 系统 对 常见 应 用 预定 义 了 一 
些 规 则 ,双击 任意 规则 ,在 出 现 的 规则 属性 对 话 框 中 可 以 看 到 该 规则 使 用 的 协议 和 端口 。 这 
些 预 定义 的 规则 会 随 着 服务 器 的 某 些 服务 启动 而 自动 启用 相应 的 规则 。 单 击 右边 窗口 的 
【入 站 规则 了 的 标签 ,可 以 按 各 种 条 件 排序 人 站 规则 ,例如 单 击 【已 启用 标签 ,可 以 按照 规则 
是 否 启用 对 入 站 规则 进行 排序 。 
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图 6.42 【高 级 安全 Windows Bj Ait 18 H1 
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WYL 公司 的 Web 服务 器 安装 的 是 Windows Server 2008 系统 ,通过 创建 自 定 义 人 站 
规则 ,允许 客户 机 访问 Web 服务 器 上 端口 为 8080 的 网 站 首页 。 

具体 操作 步骤 如 下 : 

(1) 在 Web 服务 器 上 安装 IIS 角色 ,配置 端口 为 8080 的 网 站 ,在 本 机 能 打开 这 个 站 点 。 

(2) 在 Web 服务 器 上 配置 自 定义 的 入 站 规则 ,支持 客户 端 使 用 TCP 8080 端口 打开 站 
点 。 如 图 6. 43 所 示 ,在 【高 级 安全 Windows 防火 墙 ] 窗 口中 右 击 【 入 站 规则 3 选项 ,在 右 侧 单 
击 【 新 规则 ] 超 链接 。 

=lolxl 
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6.43 ”建立 新 规则 


(3) 在 弹出 的 [规则 类 型 对 话 框 中 选择 [端口 ] 单 选 按钮 . 单 击 [ 下 一 步 ] 按 钮 ,如 图 6. 44 
所 示 。 

(4) 在 弹出 的 [协议 和 端口 ] 对 话 框 中 选择 TCP 单 选 按 钮 ,选择 [特定 本 地 端口 单 选 按 
钮 ,在 其 后 的 文本 框 中 输入 “8080”, 单 击 【 下 一 步 3 按 钮 ,如 图 6. 45 所 示 。 
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图 6.44 设置 规则 类 型 


新 建 入 站 规则 向 导 


图 6.45 选择 协议 和 端口 


(5) 在 弹出 的 [操作 对 话 框 中 选择 [允许 连接 了 单 选 按钮 , 单 击 [ 下 一 步 ] 按 钮 ,如 图 6. 46 
所 示 。 

(6) 在 弹出 的 [配置 文件 ] 对 话 框 选择 【[ 域 【专用 和 【公用 ] 复 选 框 , 单 击 【 下 一 步 ] 按 
钮 ,如 图 6.47 所 示 。 


新 建 入 站 规则 向 导 


图 6.46 选择 操作 


6.47 设置 配置 文件 


CT) 在 弹出 的 5 名称] 对话 框 中 的 【名 称 】 文 本 框 中 输入 【开放 端口 号 为 8080 的 网 站 服 
务 】, 单 击 [ 完 成] 按钮 完成 新 建 人 站 规则 ,如 图 6. 48 Bron o 
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6.48 输入 规则 名 称 


(8) 测试 。 在 客户 端 访问 8080 端口 的 网 站 ,如 图 6. 49 所 示 ,此 时 可 以 访问 。 如 果 把 规 
则 禁用 后 再 刷新 网 站 , 则 以 8080 为 端口 的 网 站 将 打 不 开 。 
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端口 号 为 8080 的 网 站 首页 


图 6.49 在 客户 端 访问 8080 端口 的 网 站 
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WYL 公司 的 服务 器 安装 的 是 Windows Server 2008 操作 系统 ,通过 基于 协议 和 端口 创 
建 出 站 规则 ,阻止 服务 器 访问 FTP 站 点 。 

具体 操作 步骤 如 下 : 

(1) 配置 自 定义 的 出 站 规则 。 如 图 6. 50 所 示 ,在 【高 级 安全 Windows 防火 墙 ] 窗 口中 
右 击 【出 站 规则 选项 ,在 弹出 的 快捷 菜单 中 选择 [新 规则 选项。 

(2) 在 弹出 的 [规则 类 型 对 话 框 中 选择 [端口 单 选 按钮 , 单 击 【下 一 步 ] 按 钮 ,如 图 6. 51 
所 示 。 
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6.50 新建 出 站 规则 
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6.51 选择 规则 类 型 


G) 在 弹出 的 [协议 和 端口 ] 对 话 框 中 选择 TCP 单 选 按钮 【所 有 本 地 端口 单 选 按钮 ， 
单 击 【下 一 步 3 按 钮 ,如 图 6. 52 所 示 。 

(4) 在 弹出 的 [操作 了 对 话 框 中 选择 【阻止 连接 了 单 选 按钮 , 单 击 [ 下 一 步 ] 按 钮 。 

C5) 在 弹出 的 [配置 文件 ] 对 话 框 中 选择 【 域 ]【 专 用】 和 [公用] 复 选 框 , 单 击 【 下 一 步 】 
按钮 。 

(6) 在 弹出 的 [名 称 】 对 话 框 中 的 “名 称 ” 文 本 框 中 输入 【禁止 服务 器 使 用 FTP 下载】, 单 
击 【 完 成 ] 按 钮 完成 设置 出 站 规则 。 
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图 6.52 选择 协议 和 端口 
(7) 如 图 6. 53 所 示 , 右 击 刚 才 创 建 的 出 站 规则 ,在 弹出 的 快捷 菜单 中 选择 【属性 了 命令 。 
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图 6.53 查看 出 站 规则 属性 


(8) 在 弹出 的 [禁止 服务 器 使 用 FTP 下 载 属性 对 话 框 中 的 [协议 和 端口 选项 组 中 将 


远程 端口 设置 为 【特定 端口 】, 并 设置 为 21, 这 样 就 能 够 阻止 服务 器 访问 FTP 服务 器 的 流 
量 , 如 图 6.54 所 示 。 


(9) 测试 。 在 服务 器 上 访问 FTP 站 点 ,不 能 访问 。 
(10) 测试 。 禁 用 【禁止 服务 器 使 用 FTP 下载] 规则 ,访问 FTP 站 点 ,能 够 访问 成 功 。 
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图 6.54 设置 协议 和 端口 


6.3.4 配置 本 地 组 策略 


除了 使 用 上 述 的 本 地 安全 策略 配置 服务 器 安全 外 ,在 Windows Server 2008 上 还 可 以 
通过 配置 本 地 组 策略 控制 用 户 和 计算 机 的 行为 来 增强 系统 安全 性 。 
1. 本 地 组 策略 编辑 器 
打开 本 地 组 策略 编辑 器 的 方法 : 选择 【开始 】>【 运 行 ] 命 令 , 在 弹出 的 对 话 框 中 输入 
“gpedit. msc”, 按 Enter 键 , 便 可 以 看 到 本 地 组 策略 有 两 大 部 分 的 设置 , 即 计 算 机 配置 和 用 
户 配 置 ,如 图 6. 55 所 示 。 
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图 6.55 本 地 组 策略 编辑 器 


2. 关闭 自动 播放 

现在 , 越 来 越 多 的 病毒 和 木马 在 利用 系统 的 自动 播放 功能 来 进行 传播 ,如 果 关 闭 了 系统 
的 自动 播放 ,也 就 相当 于 托 断 了 病毒 和 木马 的 一 条 传播 路 径 。 

关闭 自动 播放 的 操作 步骤 如 下 。 

COD 在 如 图 6. 55 所 示 的 【本 地 组 策略 编辑 器 ] 窗 口中 选择 [本 地 计算 机 策略 >【 计 算 机 
MEIE MRK Windows 组 件 】”>【 自 动 播放 策略 〗 选 项 ,在 右 侧 的 详细 设置 区 双击 
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网 络 安 会 鞭 术 与 实践 


【关闭 自动 播放 选项 ,如 图 6. 56 Bras. 
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图 6.56 双击 【关闭 自动 播放 选项 


(2) 在 弹出 的 如 图 6. 57 所 示 的 【关闭 自动 播放 属性 】 对 话 框 中 选择 【已 启用 了 单 选 按钮 ， 
在 【关闭 自动 播放 下 拉 列 表 框 中 选择 [所 有 驱动 器 3 选项 , 单 击 [ 下 一 个 设置 按钮 。 
(3) 在 弹出 的 如 图 6. 58 所 示 的 【不 设置 “始终 执行 此 操作 ” 复 选 框 属性 对 话 框 中 选择 
【已 启用 了 单 选 按钮 , 单 击 【确定 按钮 。 
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图 6.57 设置 关闭 自动 播放 属性 图 6.58 启用 设置 始终 执行 此 操作 


3. 禁止 用 户 使 用 注册 表 编 辑 工具 

禁止 用 户 使 用 注册 表 编 辑 工具 ,可 以 增强 服务 器 的 安全 性 ,防止 非法 用 户 通过 修改 注册 
表 和 危害 系统 安全 ,具体 操作 步 又 如 下 。 

CD 在 如 图 6. 59 所 示 的 【本 地 组 策略 编辑 器 了 窗口 中 选择 [用户 配置 了 并 管理 模板 了 ~ 
【系统 选项 ,在 右 侧 的 [设置 】 区 域 双 击 【阻止 访问 注册 表 编 辑 工具 选项 。 


文件 FF) RFO 查看 W) 帮助 00 


e [mist 


Sg AARE 

e 国 软件 设置 

C Windows 设置 

EC 管理 模板 
C “开始 ”菜单 和 任务 栏 

本 Windows 组 件 

D 共享 文件 实 
回 控制 面板 


C) ctrl+ALttDel 选项 
8 国 Internet 通信 管理 
J Windows 热 启动 

国 登录 
| 电源 管理 
] 脚本 
3 可 移动 存储 访问 


阻止 访问 注册 表 编 辑 工具 
显示 Elt 


al 


Ek 

至 少 Microsoft Windows 2000 
dt 

HA Windows 注册 未 编辑 器 
Regedit. exeo 

如 果 启 用 此 设置 ， 并 且 用 户 试图 启 
动 注册 表 编辑 器 ， 则 会 出 现 一 条 消 
S> 说 明 设置 会 阴 止 此 操作 。 

车 要 防止 用 户 使 用 其 他 管理 工具 ， 


25 
] 性 能 控制 面板 


i 下 载 缺 少 的 com 组件 

2000 年 世纪 转译 

限制 这 些 程序 从 帮助 启动 

登录 时 不 显示 欢迎 屏 医 

自 定义 用 户 界面 
因 阻止 访问 命令 提示 符 
E 阻止 访问 注册 卖 编辑 工具 

不 要 运行 指定 的 Wndows 应 用 程序 
运行 指定 的 Windows 应 用 程序 
Windows 自动 更 新 


] 驱动 程序 安装 


请 信用 s SHEEN Vindos 应 
3 区域 设置 有 务 3 


设置 


| 
ZYRA . 


图 6.59 双击 【阻止 访问 注册 表 编 辑 工具 3 选项 


(2) 在 弹出 的 [阻止 访问 注册 表 编 辑 工具 属性 对 话 框 中 选择 [已 启用 了 单 选 按钮 ,在 【是 否 
禁用 无 提示 运行 regedit?】 下 拉 列 表 中 选择 [是 3 选项 , 单 击 【 确 定 了 按钮 保存 ,如 图 6.60 所 示 。 
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是 否 厅 用 无 提示 运行 regedit? 


支持 于 : 至 少 Microsoft Windows 2000 
上 一 个 设置 中) 下 一 个 设置 虽 


图 6.60 启用 [阻止 访问 注册 表 编 辑 工具 】 


G) 选择 [开始 〗>【 运 行 3 命 令 , 在 弹出 的 对 话 框 中 输入 “regedit”, 此 时 弹出 提示 框 , 提 
示 注 册 表 编辑 已 被 管理 员 禁 用 ,如 图 6. 61 所 示 。 


CENTE 
e 注册 表 编 辑 已 补 管 理 员 禁 用 。 


axi 


图 6.61 注册 表 编 辑 器 被 管理 员 禁 用 
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4. 显示 用 户 以 前 登录 的 信息 

启用 本 地 组 策略 中 的 [在 用 户 登录 期 间 显示 有 关 以 前 登录 的 信息 】, 将 在 该 用 户 登录 后 
出 现 一 则 消息 ,显示 该 用 户 上 次 成 功 登 录 的 日 期 和 时 间 、 访 用户 上 次 尝试 登录 而 未 成 功 的 日 
期 和 时 间 及 自 该 用 户 上 次 成 功 登录 以 来 未 成 功 登 录 的 次 数 。 用 户 必须 确认 该 消息 ,然后 才 
能 登录 到 Window 桌面 。 该 项 设置 可 以 跟踪 用 户 登录 系统 的 行为 ,从 而 发 现 试图 非法 登录 
账户 的 行为 。 具 体 步骤 如 下 。 

CD 选择 [开始 〗>【 运 行 ] 命 令 , 在 弹出 的 对 话 框 中 输入 “gpedit. msc”, 打 开本 地 组 策略 
编辑 器 。 

(2) 选择 [计算 机 配置 3>【 管 理 模板 >【Windows £ fF 1 [D Windows 登录 选项 ] 选 项 , 然 
后 在 右 侧 详细 设置 区 中 双击 【在 用 户 登录 期 间 显 示 有 关 以 前 登录 的 信息 选项 ,如 图 6. 62 
所 示 。 
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Windows 错误 报告 
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图 6.62 启用 【在 用 户 登录 期 间 显示 以 前 登录 的 信息 】 


(3) 在 弹出 的 [在 用 户 登 录 期 间 显 示 有 关 以 前 登录 的 信息 属性 对话 框 中 选择 【已 启 
用 了 单 选 按钮 , 单 击 [确定 了 按钮 。 

(4) 注销 并 重新 登录 ,故意 输入 一 次 错误 的 密码 ,然后 输入 正确 的 密码 ,屏幕 会 显示 登 
录 不 成 功 的 提示 ,如 图 6. 63 Bros , 单 击 【确定 了 按钮 后 ,才能 成 功 登录 。 


图 6.63 登录 不 成 功 提示 


练 2] 题 


1. 填空 题 

Q) Windows Server 2008 中 ,用 户 类 型 可 分 为 两 种 ,一 种 是 内 置 的 账户 , 另 一 种 是 管理 
员 自 己 创建 的 " 

(2) Windows Server 2008 中 的 内 置 账户 有 Guest 与 " 

(3) 破解 Windows Server 2008 中 的 密码 主要 包括 3 种 方法 : 巧妙 猜测 、 TH 


动 尝试 字符 组 合 。 

(4) 账户 就 是 名 称 与 默认 管理 员 账 户 名 称 (Administrator) 类 似 或 完全 相同 ， 
而 权限 却 极 低 的 用 户 账 户 。 

(5) 共享 权限 是 基于 的 ,也 就 是 说 ,只 能 在 文件 夹 上 设置 共享 权限 ,不 能 在 文 
件 上 设置 共享 权限 ; NTFS 权限 是 基于 的 ,用 户 既 可 以 在 文件 夹 上 设置 ,也 可 以 在 
文件 上 设置 。 

(6) 访问 隐藏 共享 时 ,也 要 在 服务 器 地 址 后 面 加 上 带 号 的 共享 名 。 

(7) 默认 共享 包含 所 有 分 区 ,这 是 非常 危险 的 。 取 消 默认 共享 一 般 是 通过 T 
具 对 其 修改 。 

(8) NTFS 分 区 所 具有 的 特性 具有 加 解密 文件 的 功能 。 

(9) 账户 策略 包括 两 方面 的 设置 , 即 密码 策略 和 策略 。 

(10) Windows 的 能 够 严格 控制 外 部 流量 进入 服务 器 和 从 服务 器 流出 的 网 络 
流量 。 

2. 简 答题 


(1) 简要 说 明 系 统管 理 员 应 该 从 哪些 方面 加 强 Windows Server 2008 的 用 户 安全 。 
(2) 简要 说 明 共享 权限 与 NTFS 权限 的 区 别 。 

(3) 简要 说 明 EFS 的 加 密 文件 系统 的 过 程 。 

CA) 如 何 设置 隐藏 共享 ? 

(5) 如 何 使 用 防火 墙 做 到 只 允许 外 面 的 用 户 访问 服务 器 的 Web 服务 ? 

(6) 应 从 哪些 方面 使 用 本 地 组 策略 可 以 增强 系统 安全 性 ? 
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第 7 章 Linux 操作 系统 的 安全 


Linux 操作 系统 是 开放 源 代码 的 类 UNIX 操作 系统 ,是 领先 的 操作 系统 。 世 界 上 运算 
最 快 的 10 台 超 级 计算 机 运行 的 都 是 Linux 操作 系统 。 在 许多 国家 ,Linux 早已 涉足 政府 办 
公 、 军 事 战 略 及 商业 运作 的 方方面面 。Linux 的 发 行 版 本 很 多 ,例如 Red Hat Linux, 
Ubuntu, Fedora Core, OpenSUSE, Debian 等 。 其 中 最 为 出 名 的 是 Red Hat 公司 的 RHEL6 
(Red Hat Enterprsie Linux 6) ,几乎 占据 了 服务 器 操作 系统 的 半壁 江山 , 它 的 主要 应 用 是 各 
种 网 络 服务 .虚拟 化 、 云 计算 等 。 本 章 以 Red Hat Enterprsie Linux 6 为 平台 ,重点 讲解 
Linux 操作 系统 相关 的 安全 属性 。 

» 学 习 目 标 : 

。 了解 GPG 的 加 密 原理 ,以 及 使 用 GPG 实现 加 密 、 解 密 文档 。 

* 了解 LUKS 技术 ,使 用 LUKS 创建 加 密 磁盘 。 
熟悉 SELinux 的 原理 ,以 及 对 SELinux 的 安全 上 下 文 与 布尔 值 的 设置 。 
熟悉 AIDE 技术 ,能 使 用 AIDE 检测 系统 文件 是 否 被 修改 。 

。 熟悉 HTTPS 原理 ,以 及 HTTPS 站 点 的 搭建 。 

» 课业 任务 : 

本 章 通过 6 个 实际 课业 任务 ,由浅 和 人 深 、 循 序 渐进 地 介绍 在 Linux 操作 系统 下 的 相关 安 
全 操作 ,包括 GPG 使 用 .LUKS 技术 、SELinux 技术 、AIDE 技术 .HTTPS 技术 等 ,以 加 强 
Linux 操作 系统 的 安全 。 

3 课业 任务 7-1 

Bob 是 WYL 公司 总 部 的 技术 开发 人 员 ,Alice 是 WYL 公司 分 部 的 技术 开发 人 员 ,他们 
都 使 用 RHEL6 开发 软件 。 身 处 异地 的 Bob 与 Alice 需要 通过 互联 网 交换 他 们 的 软件 代 
码 , 故 需要 在 传输 的 过 程 中 注意 保密 性 。 

能 力 观 测 点 

非 对 称 加 密 算法 原理 ; 使 用 GPG 软件 发 送 加 密 解 密 文档 。 

A 课业 任务 7-2 

Bob 是 WYL 公司 的 软件 开发 人 员 ,使 用 RHEL6 开发 软件 ,他 的 计算 机 的 硬盘 中 有 很 
多 公司 的 核心 软件 代码 , 因 怕 其 泄露 ,因此 需要 把 这 些 文件 保护 起 来 。 

能 力 观 测 点 

LUKS 技术 原理 ; 使 用 LUKS 加 密 磁盘 的 配置 。 

3 课业 任务 7-3 

WYL 公司 使 用 RHEL6 作为 公司 的 Web 服务 器 ,为 了 保护 Web 服务 器 的 安全 ,准备 
在 Web 服务 器 上 启用 SELinux, 使 服务 器 能 正常 安全 运行 。 


能 力 观 测 点 

SELinux 原理 ; SELinux 安全 上 下 文 的 设置 。 

A 课业 任务 7-4 

WYL 公司 使 用 RHEL6 作为 公司 的 FTP 服务 器 ,为 了 保护 FTP 服务 器 的 安全 , 预 启 
用 SELinux, 使 其 服务 器 能 正常 安全 运行 。 


能 力 观 测 点 
SELinux 原理 ; SELinux 布尔 值 的 设置 。 
3 课业 任务 7-5 


WYL 公司 使 用 RHEL6 作为 公司 的 服务 器 ,为 了 保护 服务 器 的 安全 ,使 用 AIDE 的 相 
关 特 性 建立 系统 特征 数据 库 , 用 来 确认 在 服务 器 的 运行 过 程 中 是 否 被 黑客 入 侵 过 。 

能 力 观测 点 

AIDE 原理 ; AIDE 工具 的 使 用 。 

3 课业 任务 7-6 

WYL 公司 使 用 RHEL6 作为 公司 的 Web 服务 器 ,为 了 加 强 Web 服务 器 的 安全 性 , 需 
要 在 服务 器 与 客户 机 之 间 实 现 数据 加 密 , 以 及 能 在 客户 机 上 验证 Web 服务 器 的 身份 。 
WYL 公司 准备 搭建 一 台 HTTPS 站 点 来 实现 此 功能 。 

能 力 观测 点 

HTTPS 5 HTTP 不 同 点 ; HTTPS 达到 的 目的 ; HTTPS 站 点 的 搭建 。 


7.1 使 用 GPG 加 密 文件 


GPG(GNU Privacy Guard) 是 一 个 完全 免费 的 基于 非 对 称 加 密 体 制 的 工具 ,在 企业 网 
络 应 用 中 ,使 用 GPG 可 对 在 公共 网 络 或 者 局 域 网 内 传输 的 信息 进行 数字 签名 或 加 密 保护 ， 
以 提高 企业 网 络 的 安全 并 降低 安全 验证 成 本 ,GPG 安装 文件 可 以 从 官方 网 站 (www. gpg. 
com) 下 载 。 

3i 课业 任务 7-1 

Bob 是 WYL 公司 总 部 的 技术 开发 人 员 ,Alice 是 WYL 公司 分 部 的 技术 开发 人 员 ,他 们 
都 使 用 RHEL6 开发 软件 。 身 处 异地 的 Bob 与 Alice 需要 通过 互联 网 交换 他 们 的 软件 代 
码 , 故 需要 在 传输 的 过 程 中 注意 保密 性 。 

Bob 和 Alice 交换 文件 实现 的 思路 是 ,首先 Bob 在 自己 的 RHEL6 系统 中 产生 密 钥 对 ， 
接 下 来 导出 其 生成 的 公 钥 ,通过 网 络 发 送 给 Alice; Alice 在 收 到 Bob 发 送 的 公 钥 后 ,首先 将 
Bob 的 公 钥 导入 自己 的 RHEL6 系统 ,然后 使 用 Bob 的 公 钥 加 密 需 要 的 文件 ,最 后 Alice 把 
加 密 后 的 文件 同样 通过 网 络 发 给 Bob; Bob 在 收 到 Alice 发 送 来 的 加 密 文件 后 ,用 自己 的 私 
钥 进 行 解密 , 则 可 以 看 到 Alice 发 送 来 的 文件 了 。 

具体 操作 步骤 如 下 。 

(1) Bob 在 自己 的 RHEL6 系统 中 产生 密 钥 对 。 

[root@ localhost Desktop]# gpg -- gen- key 


gpg (GnuPG) 2.0.14; Copyright (C) 2009 Free Software Foundation, Inc. 
This is free software: you are free to change and redistribute it. 
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There is NO WARRANTY, to the extent permitted by law. 


Please select what kind of key you want: 
(1) RSA and RSA (default) 
(2) DSA and Elgamal 
(3) DSA (sign only) 
(4) RSA (sign only) 
Your selection? 
RSA keys may be between 1024 and 4096 bits long. 
What keysize do you want? (2048) 
Requested keysize is 2048 bits 
Please specify how long the key should be valid. 
0 = key does not expire 
<n> = key expires inn days 
<n>w = key expires in n weeks 
€«n»m = key expires in n months 
<n>y = key expires in n years 
Key is valid for? (0) 
Key does not expire at all 
Is this correct? (y/N) y 
GnuPG needs to construct a user ID to identify your key. 
Real name: wangyulin 
E-mail address: 43498000(9 qq. com 
Comment : 
You selected this USER - ID: 
"wangyulin < 43498000(2 qq. com>" 
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o 
You need a Passphrase to protect your secret key. 
can't connect to '/root/.gnupg/S. gpg - agent': No such file or directory 
gpg- agent[3074]: directory '/root/.gnupg/private - keys — v1. d' created 
We need to generate a lot of random bytes. It is a good idea to perform 
some other action (type on the keyboard, move the mouse, utilize the 
disks) during the prime generation; this gives the random number 
generator a better chance to gain enough entropy. 
We need to generate a lot of random bytes. It is a good idea to perform 
some other action (type on the keyboard, move the mouse, utilize the 
disks) during the prime generation; this gives the random number 
generator a better chance to gain enough entropy. 
gpg: key 362CE2A3 marked as ultimately trusted 
public and secret key created and signed. 


gpg: checking the trustdb 
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model 
gpg: depth: 0 valid: 1 signed: 0 trust: 0- , Oq, On, On, Of, 1u 
pub —2048R/362CE2A3 2012 - 08 - 20 
Key fingerprint - EB9C 1305 C447 527E FDD7  BBB3 BF21 44F6 362C E2A3 
uid wangyulin < 43498000(2 qq. com> 
sub 2048R/EF8CA1BE 2012 - 08 — 20 


注意 : 密 钥 对 产生 完了 之 后 , 密 钥 ID 为 362CE2A3。 
(2) Bob 在 自己 的 RHEL6 系统 中 产生 密 钥 对 后 .导出 自己 的 公 钥 文件 ,并 把 公 钥 文件 


以 KEY-serverX 为 名 进行 保存 。 


[root@ localhost Desktop]it gpg -a — o —/KEY- serverX - - export 362CE2A3 


[root(2 localhost Desktop] # cd 
[root@ localhost ~]# 1s 


anaconda- ks.cfg Downloads KEY- serverX Public 
Desktop install. log Music Templates 
Documents install. log. syslog Pictures Videos 


(3) Bob 将 公 钥 文件 KEY-serverX 通过 网 络 发 送 给 Alice, 


(4) Alice 在 收 到 Bob 发 送 的 公 钥 后 ,首先 将 Bob 的 公 钥 导入 自己 的 RHEL6 系统 。 


[wyl(2localhost ~] $ gpg - - import ./KEY- serverX 

gpg: key 362CE2A3: public key "wangyulin < 43498000(2 qq. com?" imported 
gpg: Total number processed: 1 

gpg: imported: 1 (RSA: 1) 


(5) Alice 用 Bob 的 公 钥 加 密 文 件 1. txt, 加 密 后 的 文件 名 为 1. txt. asc. 


[wyl(2localhost ~] $ gpg - -encrypt - -armor - r 362CE2A3 ./1.txt 
gpg: EF8CAIBE: There is no assurance this key belongs to the named user 
pub 2048R/EF8CA1BE 2012 - 08 - 20 wangyulin < 43498000 (2)qq. com > 


Primary key fingerprint: EB9C 1305 C447 527E FDD7 BBB3 BF21 44F6 362C E2A3 
Subkey fingerprint: 32C0 E53E AC94 2FAA E529  2A56 9154 9366 EF8C A1BE 


It is NOT certain that the key belongs to the person named 

in the user ID. If you * really* know what you are doing, 

you may answer the next question with yes. 

Use this key anyway? (y/N) y 

[wyl(2localhost ~] $ ls 

LE tat Desktop Downloads Music Public Videos 
l.txt.asc Documents KEY- serverX Pictures Templates 


Alice 查看 加 密 后 的 密 文 文件 1. txt. asc; 


[wyl(2localhost ~] $ cat 1.txt.asc 
Suet pne BEGIN PGP MESSAGE ----— 
Version: GnuPG v2.0.14 (GNU/Linux) 


hQEMASFUk2bv jKG + AO£9FCYK2 jckffGlsz5JsnOUVVttQ3 + su3d6qaTfTjr/FnvO 
OBMAZRZNQXLuEbQRXxYJKtTA9HLAaivPuv240GJszzkRmOY1 apRUV1cDiTqYybJcN 
m6aVbphUsCxePtQyux6GbEhIk/tmmRar9mOTz/MytZB3GQtxydDdZqd9d7g3dX1n 
V8cDhGUBJIVCh0oCOG8Xcow9KYHFMn4 suo9uJKVCUXNNaQ4cOcQo9 vsiJnRj/QXe 
UGrYXeHiTq5/91DabiiYj947GeN9QVgGiscRnvhegXqabBXFEZOOMHHzX3ZqsNAy 
ktsIOjTzIzykuIw/pB5TAlydPxllfmeihpbjZoovitJGAeAR2s/NVufkxl4SKh4k 
q/cWi49VA6 + lHYaeYkLb + KC6 jqGRMwPdGxFOCokDw4pIk2RfvO9nGZLYVNUAMtcl 


(6) Alice 把 加 密 后 的 文件 通过 网 络 发 送 给 Bob 。 


(7) Bob 在 收 到 Alice 发 送 来 的 加 密 文 件 后 ,用 自己 的 私 钥 进行 解密 , 则 可 以 看 到 Alice 


发 送 来 的 文件 了 。 
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[root@ localhost tmp] # gpg -- decrypt 1.txt.asc 

You need a passphrase to unlock the secret key for 

user: "wangyulin < 43498000(8 qq. com>" 

2048 - bit RSA key, ID EF8CA1BE, created 2012 - 08 - 20 (main key ID 362CE2A3) 

can't connect to '/root/.gnupg/S. gpg - agent': No such file or directory 

gpg: encrypted with 2048 - bit RSA key, ID EF8CA1BE, created 2012 - 08 - 20 
"wangyulin < 43498000(9 qq. com >" 

Hello / [Hello 为 解密 后 的 内 容 


7.2 使 用 LUKS 加 密 Linux 磁盘 


LUKS( Linux 统一 密 钥 设置 ) 是 标准 的 设备 加 密 格式 。LUKS 可 以 对 分 区 或 卷 进行 加 
密 , 在 使 用 时 对 加 密 的 分 区 进行 解锁 后 挂 载 即 可 ,在 不 使 用 时 就 要 先 印 载 再 锁定 分 区 。 

3 课业 任务 7-2 

Bob 是 WYL 公司 的 软件 开发 人 员 ,使 用 RHEL6 开发 软件 ,他 的 计算 机 的 硬盘 中 有 很 
多 公司 的 核心 软件 代码 , 因 怕 其 泄露 ,因此 需要 把 这 些 文件 保护 起 来 。 

实现 思路 : 首先 划分 一 个 分 区 ,使 用 LUKS 技术 对 分 区 数据 进行 保护 。 

具体 操作 步骤 如 下 。 

(1) 查询 LUKS 软件 包 是 否 已 安装 。 


[root(2 instructor 751]# rpm - qf /sbin/cryptsetup 
cryptsetup- luks - 1.1.2 — 2. e16. x86 64 


(2) 划分 一 个 分 区 /dev/vda8 ,并 为 其 设置 加 密 密 码 。 


[root@demo ~] # cryptsetup luksFormat /dev/vda8 
WARNING! 


This will overwrite data on /dev/vda8 irrevocably. 


Are you sure? (Type uppercase yes): YES 
Enter LUKS passphrase: 
Verify passphrase: 


(3) 解锁 磁盘 ,并 把 解锁 的 磁盘 映射 为 wyl。 


root@demo —]it cryptsetup luksOpen /dev/vda8 wyl 
Enter passphrase for /dev/vda8: 


注意 : 解锁 磁盘 需要 输入 步骤 (2) 设 置 的 密码 。 


root@demo ~]# 11 /dev/mapper/wyl 
. 1 root root 7 Sep 16 10:41 /dev/mapper/wyl -> ../dm- 4 


(4) 格式 化 该 磁盘 。 


root@demo ~]# mkfs - t ext4 /dev/nmapper/wyl 
mke2fs 1.41.12 (17 - May - 2010) 
Filesystem label = 


2 


OS type: Linux 
Block size = 1024 (1og- 0) 
Fragment size = 1024 (log- 0) 
Stride- 0 blocks, Stripe width = 0 blocks 
25272 inodes, 100736 blocks 
5036 blocks (5.00 % ) reserved for the super user 
First data block- 1 
Maximum filesystem blocks - 67371008 
13 block groups 
8192 blocks per group, 8192 fragments per group 
1944 inodes per group 
Superblock backups stored on blocks: 
8193, 24577, 40961, 57345, 73729 


Writing inode tables: done 
Creating journal (4096 blocks): done 
Writing superblocks and filesystem accounting information: done 


This filesystem will be automatically checked every 20 mounts or 
180 days, whichever comes first. Use tune2fs -c or - i to override. 


(5) 创建 挂 载 点 。 
[root@demo ~] # mkdir /mnt/luks 
(6) 挂 载 磁盘 ,并 使 用 磁盘 。 


[root@demo ~] # mount /dev/mapper/wyl /mnt/luks 
[root@demo ~]# cp /etc/hosts /mnt/luks/ 
[root@demo ~]# cd /mnt/luks/ 

[root@ demo luks] # 

[root@demo luks] # 11 

total 14 


-. 1 root root 139 Sep 16 10:44 hosts 
. 2 root root 12288 Sep 16 10:43 lost + found 


(7) AR FIRE ARI RE IX 。 


[root(2demo ~]# umount /nnt/luks/ 
[root(2demo —]it cryptsetup luksClose wyl 
[root(2demo 一 ]# 11 /dev/mapper/ 


(8) 再 次 需要 使 用 此 磁盘 时 需要 解锁 。 


[root(2demo ~]# cryptsetup luksOpen /dev/vda8 wyl 
Enter passphrase for /dev/vda8: 


7.3 使 用 SELinux 保护 网 络 服务 


SELinux 是 保护 系统 的 另 一 种 方法 ,SELinux 定义 了 哪些 进程 能 访问 哪些 文件 .目录 、 
端口 等 的 安全 规则 。 每 个 文件 .进程 .目录 和 端口 都 具有 专门 的 安全 标签 , 称 为 SELinux 的 
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安全 上 下 文 。 上 下 文 只 是 一 个 名 称 ,SELinux 策略 使 用 它 来 确定 某 个 进程 是 否 能 访问 文件 、 
目录 和 端口 。SELinux 标签 主要 是 看 第 3 个 上 下 文 : 类 型 上 下 文 。 例 如 ,httpd_t 是 apache 
的 进程 上 下 文 ; Web 网 站 文档 的 上 下 文 是 httpd_sys_content_t; /tmp 与 /var/tmp 的 文件 
和 目录 的 类 型 上 下 文件 是 tmp_t。 在 SELinux 策略 中 ,有 一 个 规则 是 ,允许 httpd_t 的 进程 
访问 httpd_sys_content_t 文件 ,而 不 允许 httpd_t 的 进程 访问 tmp_t 文件 。 


7.3.1 修改 SELinux 的 安全 上 下 文 


安全 上 下 文 可 用 来 控制 文件 系统 中 每 个 文件 及 目录 的 SELinux 权限 ,主要 是 针对 某 个 
进程 的 某 个 行为 进行 读 写 的 控制 。 

3i 课业 任务 7-3 

WYL 公司 使 用 RHEL6 作为 公司 的 Web 服务 器 ,为 了 保护 Web 服务 器 的 安全 ,准备 
在 Web 服务 器 上 启用 SELinux, 使 服务 器 能 正常 安全 运行 。 

实现 思路 : 禁用 SELinux, 此 时 是 能 正常 访问 Web 页 面 的 ,启用 SELinux 后 ,就 不 能 访 
In] Web 页 面 了 ,通过 修改 SELinux 安全 上 下 文 的 方法 来 保证 其 httpd 进程 能 访问 存放 网 页 
文档 的 目录 。 

具体 操作 步骤 如 下 。 

COD 把 SELinux 设置 为 容许 状态 。 


root@ localhost var]# setenforce 0 
(2) 创建 Web 站 点 。 


root@localhost var] # mkdir /www 
root@ localhost var] # echo "selinux text" > /www/index. html 
root@ localhost var] # vim /etc/httpd/conf/httpd. conf 


添加 一 行 ,如 下 : 
Alias /wyl/ "/www/" 
root@ localhost var] # /etc/rc.d/init.d/httpd restart 


Stopping httpd: [ OK ] 
Starting httpd: [ OK ] 


(3) 测试 是 否 可 以 访问 ,此 时 是 可 以 访问 的 。 


http://192.168.0.251/wyl/ 

(4) 把 SELinux 设置 为 强制 状态 。 

[root@1ocalhost var] # setenforce 1 

(5) 再 次 测试 是 否 可 以 访问 该 网 站 ,此 时 ,由 于 SELinux 的 介入 ,网 站 显示 没有 权限 
访问 。 

http://192.168.0.251/wyl/ 


(6) 修改 /www 目录 以 及 下 面 文件 的 SELinux 安全 上 下 文 ,让 httpd. t 的 类 型 能 访问 
/www 目录 。 


[root(2localhost var]# 11 -dZ /www 

drwxr-xr-x. root root unconfined u:object r:default t:s0 /www 
[root(2localhost var] # chcon -R -t httpd sys content t /www 

[root@ localhost var] # 11 -dZ /www 

drwxr-xr-x. root root unconfined_u:object_r:httpd_sys_content_t:s0 /www 


(7) 再 次 测试 , 便 可 以 访问 该 站 点 。 


http://192.168.0.251/wyl/ 
7.3.2 修改 SELinux 的 布尔 值 


布尔 值 可 用 来 控制 某 个 进程 的 权限 ,其 实质 是 控制 进程 行为 的 一 个 开关 。SELinux 内 
建 了 许多 布尔 值 , 可 以 通过 这 些 布尔 值 来 变更 SELinux 的 设置 。 

3 课业 任务 7-4 

WYL 公司 使 用 RHEL6 作为 公司 的 FTP 服务 器 ,为 了 保护 FTP 服务 器 的 安全 ,准备 
在 FTP 服务 器 上 启用 SELinux, 使 服务 器 能 正常 安全 运行 。 

实现 思路 : 首先 启动 SELinux, 然 后 通过 修改 SELinux 布尔 值 的 方法 来 允许 wyl 用 户 
访问 其 家 目录 。 

具体 操作 步骤 如 下 。 

(1) 创建 用 户 。 


root@ localhost var] # useradd wyl 
root@ localhost var] # echo "123456" |passwd - - stdin wyl 


(2) 开启 SELinux, 并 启动 vsftpd. 


root@ localhost var] # setenfoce 1 
root@ localhost var] # service vsftpd start 


(3) 查看 SELinux 的 布尔 值 ,并 设置 SELinux 为 强制 状态 。 


root(2localhost var] # getsebool -a |grep ftp home dir 
ftp home dir -一 > off 


(4) wyl 用 户 访问 vsftpd. 


root@ instructor 751] # ftp 192.168.0.251 
Connected to 192. 168. 0. 251 (192. 168. 0. 251). 
220 (vsFTPd 2.2.2) 

Name (192.168.0.251:instructor): wyl 

331 Please specify the password. 

Password: 

500 OOPS: cannot change directory: /home/wyl 
Login failed. 

ftp» 


根据 上 面 的 提示 ,用 户 wyl 在 访问 FTP 时 遭 到 拒绝 ,不 能 访问 wyl 的 家 目录 /home/ wyl。 
(5) 修改 SELinux 的 布尔 值 ,允许 普通 用 户 访问 自己 的 家 目录 。 
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[root(2localhost var]# getsebool -a |grep ftp home dir 

ftp home dir --> on 

(6) 测试 。 在 修改 SELinux 的 布尔 值 后 ,用 户 wyl 就 能 够 访问 wyl 的 家 目录 /home/ 
wyl f. 

[root(2 instructor 751]# ftp 192.168.0.251 

Connected to 192.168.0.251 (192.168.0.251). 

220 (vsFTPd 2.2.2) 

Name (192.168.0.251:instructor): wyl 

331 Please specify the password. 

Password: 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp» pwd 

257 "/hone/wyl" 


7.4 X & f 


AIDECAdevanced Intrusion Detection Environment ,高 级 入 侵 检 测 环境 ) 是 入 侵 检 测 工 
有 具 ,主要 用 途 是 检查 文档 的 完整 性 。AIDE 能 够 构造 一 个 指定 文档 的 数据 库 ,使 用 aide. conf 
作为 其 配置 文档 。AIDE 数据 库 能 够 保存 文档 的 各 种 属性 ,包括 权限 (permission)、 索 引 节 
点 序号 (inode number) , Er Ji FH P! Cuser) , 所属 用 户 组 Cgroup)、 文 档 大 小 .最 后 修改 时 间 
Cmtime)、 创 建 时 间 (ctime)、 最 后 访问 时 间 (atime)、 增 加 的 大 小 连同 连接 数 。AIDE 还 能 够 
使 用 下 列 算法 , 即 shal .md5 ,rmdl160 ,tiger, 以 密 文 形式 建立 每 个 文档 的 校 验 码 或 散 列 号 。 

在 系统 被 人 侵 后 ,系统 管理 员 只 要 重新 运行 AIDE ,就 能 够 很 快 识别 出 哪些 关键 文档 被 
攻击 者 修改 过 了 。 但 是 要 注意 ,这 也 不 是 绝对 的 ,因为 AIDE 可 执行 程序 的 二 进 制 文档 本 身 
可 能 被 修改 了 或 数据 库 也 被 修改 了 。 因 此 ,应 该 把 AIDE 的 数据 库 放 到 安全 的 地 方 , 并 且 进 
行 检查 时 要 使 用 确保 没有 被 修改 过 的 程序 。 

A 课业 任务 7-5 

WYL 公司 使 用 RHEL6 作为 公司 的 服务 器 ,为 了 保护 服务 器 的 安全 ,使 用 AIDE 的 相 
关 特 性 建立 系统 特征 数据 库 , 用 来 确认 在 服务 器 的 运行 过 程 中 是 否 被 黑客 人 侵 过 。 

实现 思路 : 首先 安装 AIDE ,然后 创建 AIDE 的 数据 库 文件 ,并 且 把 该 文件 保存 好 , 当 系 
统 被 黑客 人 侵 过 后 ,再 使 用 之 前 创建 的 数据 库 文 件 来 进行 检测 ,看 哪些 文件 被 黑客 修改 或 删 

具体 操作 步骤 如 下 。 

(1) 安装 AIDE。 


[root(2localhost ~] # yum install aide 
(2) 修改 配置 文件 ,让 其 对 /bin 进行 检测 。 


[root(2localhost ~] # vim /etc/aide.conf 


(3) 建立 初始 数据 库 文件 ,并 将 数据 库 文件 命名 为 aide. db. gz. 


root@localhost ~]# aide -- init 

AIDE, version 0.14 

# # 4 AIDE database at /var/lib/aide/aide.db.new.gz initialized. 
root(localhost ~]# cd /var/lib/aide/ 

root@ localhost aide]# ls 

aide. db. new. gz 

root@ localhost aide] # mv aide. db. new. gz aide. db. gz 


(4) 模拟 进行 相应 的 入 侵 操作 ,假设 黑客 人 侵 了 系统 ,把 ps 命令 作 了 修改 ,加 入 格式 化 
硬盘 第 一 个 分 区 命令 “mkfs. ext4/dev/sdal”, 在 做 此 实验 之 前 最 好 先 备份 好 ps 命令 。 


root@localhost aide]it cp /bin/ps /bin/ps. bak 
root@localhost aide]# echo "mkfs. ext4/dev/sdal" > /bin/ps 


(5) 检查 系统 的 不 一 致 性 。 


root@ localhost aide]# aide - - check 
AIDE found differences between database and filesystem!! 
Start timestamp: 2012 - 10 - 07 05:55:31 


Summary: 
Total number of files: 2492 
Added files: 1 
Removed files: 0 
Changed files: 2 
Added files: 


changed: /bin 
changed: /bin/ps 


Directory: /bin 
Mtime : 2012 - 10 - 07 04:47:59 , 2012 - 10 - 07 05:54:33 
Ctime : 2012 - 10 - 07 04:47:59 , 2012 - 10 - 07 05:54:33 


File: /bin/ps 


Size : 82168 3D 

Mtime — : 2010- 06 - 30 22:00:19 , 2012 - 10- 07 05:55:04 
Ctime : 2012- 10- 07 04:37:05 , 2012 - 10- 07 05:55:04 
MD5 : QI7KGYwmThWwv7t06vPq5w == , lB2M2Y8AsgTpgAmY7PhCfg == 


Linux RPR ££ 85 X 4 


Bui 


网 络 安 会 项 大 与 实践 


RMD160 : bl/1G9wBdTPxJFPBNBBgbp3NGeE = , nBGFpcXp/FRhKAiXfujlSLIljTE = 
SHA256: Mf + zSySxTrs9SngJpNWE/cZA26 + 6EAGd , 47DEQpj8HBSa + /TImW + 5JCeuQeRkm5NM 
由 以 上 输出 可 以 得 到 结论 : 共 检 查 了 系统 中 的 2492 个 文件 ,其 中 ,添加 了 一 个 文件 , 修 
改 了 两 个 文件 。 也 就 是 说 ,只 要 入 侵 者 进行 了 相应 的 操作 ,系统 就 能 根据 之 前 生成 的 数据 库 
文件 进行 检测 。 


7.5 封装 SSL 的 Web 服务 


7.5.1 HTTPS 概述 


HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) ,是 以 安全 为 目标 的 
HTTP 通道 ,简单 地 讲 是 HTTP 的 安全 版 。 也 就 是 说 ,在 HTTP 下 加 入 SSL J, HTTPS 
的 安全 基础 是 SSL, 因 此 加 密 的 详细 内 容 就 需要 SSL。 
HTTPS 是 由 Netscape 开发 并 内 置 于 其 浏览 器 中 的 ,用 于 对 数据 进行 压缩 和 解压 操 
作 , 并 返回 网 络 上 传送 回 的 结果 。HTTPS 实际 上 应 用 了 Netscape 的 安全 套 接 字 层 (SSL) 
作为 HTTP 应 用 层 的 子 层 。HTTPS 使 用 端口 443 ,而 不 是 像 HTTP 那样 使 用 端口 80 来 
和 TCP/IP 进行 通信 。SSL 使 用 40 位 关键 字 作为 RC4 加 密 算法 ,这 对 于 商业 信息 的 加 密 
是 合适 的 。 
HTTPS 和 SSL 支持 并 使 用 X. 509 数字 认证 ,如 果 需 要 ,用 户 可 以 确认 发 送 者 是 谁 。 
也 就 是 说 , 它 的 主要 作用 可 以 分 为 两 种 : 一 种 是 建立 一 个 信息 安全 通道 ,来 保证 数据 传输 的 
安全 ; 另 一 种 就 是 确认 网 站 的 真实 性 。 
1. HTTPS 和 HTTP 的 区 别 
* HTTPS 协议 需要 到 CA 申请 证 书 , 因 此 需要 建立 一 个 CA 服务 器 ,或 者 向 知名 的 
CA 公司 进行 证 书 的 申请 。 

* HTTP 是 超 文本 传输 协议 ,信息 通过 明文 传输 ， HTTPS 则 通过 具有 安全 性 的 SSL 
加 密 传输 协议 。 

* HTTP 和 HTTPS 使 用 的 是 完全 不 同 的 连接 方式 ,用 的 端口 也 不 一 样 ,前 者 是 80， 
后 者 是 443。 

。 HTTP 的 连接 很 简单 ,是 无 状态 的 ; HTTPS 协议 是 由 SSL 十 HTTP 协议 构建 的 可 

进行 加 密 传输 、 身 份 认 证 的 网 络 协议 , 比 HTTP 协议 安全 。 

2. HTTPS 解决 的 问题 

(1) 信任 主机 的 问题 。 采 用 HTTPS 的 服务 器 必须 从 CA(Certificate Authority) 申 请 
一 个 用 于 证 明 服 务 器 用 途 类 型 的 证 书 。 该 证 书 只 有 用 于 对 应 的 服务 器 时 ,客户 端 才 信任 此 
主机 。 目 前 所 有 的 银行 系统 网 站 ,关键 部 分 应 用 都 是 HTTPS 的 。 客 户 通 过 信任 该 证 书 , 从 
而 信任 了 该 主机 。 

(2) 通信 过 程 中 的 数据 泄密 和 被 算 改 。 服 务 端 和 客户 端 之 间 的 所 有 通信 都 是 加 密 的 。 
具体 来 讲 , 是 客户 端 产生 一 个 对 称 的 密 钥 ,通过 服务 器 的 证 书 来 交换 密 钥 , 即 一 般 意 义 上 的 
握手 过 程 。 接 下 来 ,所 有 的 信息 往来 都 是 加 密 的 。 第 三 方 即使 截获 ,也 没有 任何 意义 ,因为 
没有 密 钥 , 当 然 , 算 改 也 就 没有 什么 意义 了 。 


7.5.2 HTTPS 站 点 的 搭建 


如 图 7. 1 rz ,配置 思路 如 下 。 

CD 配置 CA 服务 器 ,产生 CA 私 钥 ,再 根据 CA 私 钥 产生 CA 公 钥 证 书 。 

(2) 配置 Web 服务 器 ,产生 Web 服务 器 私 钥 及 Web 服务 器 的 请 求证 书 。 

(3) 把 Web 服务 器 请 求证 书 发 送 给 CA 服务 器 ,CA 服务 器 使 用 自己 的 私 钥 证 书 给 
Web 服务 器 请 求证 书签 名 ,从 而 产生 Web 服务 器 公 钥 证 书 。 

(4) 使 用 Web 服务 器 的 公 钥 证 书 与 私 钥 证 书 配置 HTTPS 站 点 。 
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图 7.1 HTTPS 服务 器 配置 三 方 


如 图 7.2 所 示 , Web 服务 器 与 客户 端 之 间 的 数据 是 加 密 的 ,其 具体 加 密 的 过 程 如 下 : 

(1) 客户 端 向 服务 器 端 发 出 HTTPS 请 求 。 

(2) Web 服务 器 返回 自己 的 公 钥 证 书 给 客户 端 ,同时 ,客户 端 会 随机 产生 一 把 对 称 密 
钥 , 并 用 Web 服务 器 公 钥 证 书 给 其 加 密 ,形成 加 密 后 的 密 钥 。 

(3) 客户 端 把 加 密 后 的 密 钥 发 送 给 Web 服务 器 , Web 服务 器 收 到 之 后 用 自己 的 私 钥 证 
书 解密 ,还原 成 解密 后 的 对 称 密码 。 

(4) Web 服务 器 与 客户 机 之 间 就 是 用 这 把 对 称 密 钥 来 进行 加 密 与 解密 数据 包 的 。 
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7.2 Web 服务 器 与 客户 端 加 密 原 理 


如 图 7. 3 所 示 ,客户 端 是 可 以 验证 Web 服务 器 的 身份 的 ,其 具体 验证 的 过 程 如 下 。 

CD 客户 端 把 CA 服务 器 的 公 钥 证 书 导 入 到 浏览 器 的 “受信 任 颁 发 机 构 ”。 

(2) 客户 端 向 服务 器 端 发 出 HTTPS 请 求 。 

(3) Web 服务 器 返回 自己 的 证 书 给 客户 端 。 

(4) 客户 机 通过 CA 的 公 钥 来 验证 Web 服务 器 的 公 钥 证 书 是 否 是 CA 的 私 钥 签名 ,从 
而 验证 Web 服务 器 的 身份 。 
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AIER: cakey.pem 
E 私 钥 证 书 : cacert.pem 


公 钥 证 书 : newkey.pem CA Server 


私 钥 证 书 : newcertpem 


3 Eee Se 


Web Server Client 


7.3. 客户 端 验证 Web 服务 器 的 身份 


A 课业 任务 7-6 


WYL 公司 使 用 RHEL6 作为 公司 的 Web 服务 器 ,为 了 加 强 Web 服务 器 的 安全 性 , 需 
要 在 服务 器 与 客户 机 之 间 实 现 数据 加 密 ,以 及 能 在 客户 机 上 验证 Web 服务 器 的 身份 。 


WYL 公司 准备 搭建 一 台 HTTPS 站 点 来 实现 此 功能 。 
具体 操作 步骤 如 下 。 
(1) 安装 mod_ssl,httpd。 
[root(2localhost conf.d]£ yum install mod ssl httpd - y 
(2) 创建 CA 的 私 钥 文件 与 公 钥 文件 。 


[root@ localhost misc] # cd /etc/pki/tls/misc 
[root@ localhost misc] # ./CA - newca 
CA certificate filename (or enter to create) 


Making CA certificate ... 
Generating a 2048 bit RSA private key 


writing new private key to '/etc/pki/CA/private/. /cakey. pem" 

Enter PEM pass phrase: // 输 入 保护 CA 私 钥 密码 
Verifying - Enter PEM pass phrase: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [XX]:CN // 输 入 CA 相关 信息 
State or Province Name (full name) []:GD 

Locality Name (eg, city) [Default City]:GZ 

Organization Name (eg, company) [Default Company Ltd]:WYL 

Organizational Unit Name (eg, section) []:XXZX 

Common Name (eg, your name or your server's hostname) [ ] :xxzx. wyl. com 
Email Address [ ]:xxzx(Qwyl.com 


Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []: 
An optional company name []: 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for /etc/pki/CA/private/. /cakey. pem: 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
Serial Number: 
9c:08:13:71:ca:72:c6:ab 
Validity 
Not Before: Oct 13 06:56:31 2012 GMT 
Not After : Oct 13 06:56:31 2015 GMT 


Subject: 
countryName - CN 
stateOrProvinceName = GD 
organizationName = WYL 
organizationalUnitName = XXZX 
commonName 7 xxzx.wyl.com 
enailAddress = xxzx@wyl. com 


X509v3 extensions: 
X509v3 Subject Key Identifier: 
36:B2:0C:77:8D:8D:D2:BF:C7:CC:91:55:47:57:33:A1:BB:87:40:6A 
X509v3 Authority Key Identifier: 
keyid:36:B2:0C:77:8D:8D:D2:BF:C7:CC:91:55:47:57:33:A1:BB:87:40:6A 


X509v3 Basic Constraints: 
CA: TRUE 


Certificate is to be certified until Oct 13 06:56:31 2015 GMT (1095 days) 


Write out database with 1 new entries 
Data Base Updated 


通过 以 上 操作 ,产生 了 CA 的 私 钥 与 公 钥 ,CA 的 公 钥 为 cacert. pem. CA 的 公 钥 在 


private 目录 下 名 为 cakey. pem, 


[root@localhost misc]# 11 /etc/pki/CA/private/cakey. pem 


—rw-r--r--. 1 root root 1834 Oct 13 14:55 /etc/pki/CA/private/cakey. pem 


[root@ localhost misc]# 11 /etc/pki/CA/cacert. pem 
—rw-r--r--. 1 root root 4443 Oct 13 14:56 /etc/pki/CA/cacert. pem 


(3) 配置 Web 服务 器 ,在 Web 服务 器 上 产生 Web 服务 器 私 钥 证 书 及 Web 服务 器 请 求 


证 书 。 


[root(Zlocalhost misc]# ./CA - newreq 
Generating a 2048 bit RSA private key 


writing new private key to 'newkey. pem" 


Enter PEM pass phrase: // 输 入 保护 Web 服务 器 私 钥 的 密码 
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Verifying - Enter PEM pass phrase: 

You are about to be asked to enter information that will be incorporated 
into your certificate request. 

What you are about to enter is what is called a Distinguished Name or a DN. 
There are quite a few fields but you can leave some blank 

For some fields there will be a default value, 

If you enter '.', the field will be left blank. 

Country Name (2 letter code) [XX]:CN // 输 入 Web 服务 器 相关 信息 
State or Province Name (full name) []:GD 

Locality Name (eg, city) [Default City]:GZ 

Organization Name (eg, company) [Default Company Ltd]:WYL 


Organizational Unit Name (eg, section) [ ] :RHCE 
Common Name (eg, your name or your server's hostname) [ ] :www. wyl. com 
Email Address [ ] :www@ wyl. com 


Please enter the following 'extra' attributes 

to be sent with your certificate request 

A challenge password []: 

An optional company name []: 

Request is in newreq.pem, private key is in newkey. pem 


通过 以 上 操作 ,产生 了 Web 服务 器 的 请 求证 书 newreq. pem. Web 服务 器 的 私 钥 证 书 
为 newkey. pem。 把 请 求证 书 发 送 给 CA 服务 器 ,请 求 CA 服务 器 签名 。 

(4) CA 服务 器 给 Web 服务 器 发 送 过 来 的 请 求证 书签 名 ,生成 Web 服务 器 证 书 。 

注意 : 请 求证 书 必须 放 在 /etc/pki/tls/misc 目录 下 ,名 称 必须 为 newreq. pem, 


[root(2localhost misc]# 11 newreq. pem 
-rw-r--r--. 1 root root 1037 Oct 13 15:00 newreq. pem 
[root(2localhost misc]# ./CA - sign 
Using configuration from /etc/pki/tls/openssl.cnf 
Enter pass phrase for /etc/pki/CA/private/cakey.pem: //$ A CA 的 私 钥 保 护 密码 
Check that the request matches the signature 
Signature ok 
Certificate Details: 
Serial Number: 
9c:08:13:71:ca:72:c6:ac 
Validity 
Not Before: Oct 13 07:02:57 2012 GMT 
Not After : Oct 13 07:02:57 2013 GMT 
Subject: 
countryName = CN 
stateOrProvinceName - GD 
localityName = GZ 
organizationName - WYL 
organizationalUnitName - RHCE 
commonName = www. wyl. com 
emailAddress = www@wyl. com 
X509v3 extensions: 


X509v3 Basic Constraints: 
CA:FALSE 
Netscape Comment : 
OpenSSL Generated Certificate 
X509v3 Subject Key Identifier: 


65:C4:3C:FE:FC:F4:70:39:9B:AA:74:05:D1:BD:46:C0:51:A2:B7:5D 


X509v3 Authority Key Identifier: 


keyid:36:B2:0C:77:8D:8D:D2:BF:C7:CC:91:55:47:57:33:A1:BB:87:40:6A 


Certificate is to be certified until Oct 13 07:02:57 2013 GMT (365 days) 


Sign the certificate? [y/n]:y 


1 out of 1 certificate requests certified, commit? [y/n]y 


Write out database with 1 new entries 
Data Base Updated 
Certificate: 
Data: 
Version: 3 (0x2) 
Serial Number: 
9c:08:13:71:ca:72:c6:ac 


Signature Algorithm: shalWithRSAEncryption 


// 输 入 y 


// 输 入 y 


Issuer: C= CN, ST= GD, O= WYL, OU = XXZX, CN = xxzx. wyl. com/emailAddress = xxzx@ 


wyl.com 
Validity 


Not Before: Oct 13 07:02:57 2012 GMT 


Not After : Oct 13 07:02:57 2013 GMT 


Subject: C= CN, ST= GD, L= GZ，0 = WYL, OU = RHCE, CN = www. wyl. com/emailAddress = www 


@wyl. com 
Subject Public Key Info: 

Public Key Algorithm: rsaEncryption 
Public - Key: (2048 bit) 
Modulus: 

00: 
81: 
25: 
ce: 
35: 
51; 
37: 
fe: 
5a: 
04: 
5e: 


6a: 
Exponent: 65537 (0x10001) 


:81:c8:bb:60 
:c3:4d:bc:le 
:41:ed:6c:7f 
:17:57:c3:d6: 
:48:17:1c:99: 
:4b:1c:dc:86:51: 
:8a:65:db:39:67: 
:ba:92:bf:33:49: 
:8b:89:c4:3d: 


:06:8b:19:2e:16:c2:a7:d1:1c: 
:5b:9b:7£:b5:15: 
:£6:31:9d:45:6a: 
:27 :£2:21:be:e2: 
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X509v3 extensions: 
X509v3 Basic Constraints: 
CA:FALSE 
Netscape Comment : 
OpenSSL Generated Certificate 
X509v3 Subject Key Identifier: 


65:CA4:3C:FE:FC:F4:70:39:9B:AA:74:05:D1:BD:46:C0:51:A2:B7:5D 


X509v3 Authority Key Identifier: 


keyid:36:B2:0C:77:8D:8D:D2:BF:C7:CC:91:55:47:57:33:A1:BB:87:40:6A 


Signature Algorithm: shalWithRSAEncryption 
57:c4:60:67:83:4e:c8:88:7a:2d:27:7d:e2:2a:45:b1:be:8b: 
ce:49:3a:8a:86:9e:7b:0c:55:9b:83:61:ce:36:04:46:91:7a: 
d8:05:e6:ca:fb:cf:63:b0:d3:b7:9b:b1:25:22:d7:£5:a6:67: 
04:a8:fa:07:94:41:13:6d:5e:34:0£:67:69:ec:8d:1d:1d:cf: 
10:05:0c:4£:9b:32:£b:65:4b:51:98:82:02:6b:c9:bf :2d:1b: 
66:£d:5a:fe:ed:e8:5c:ac:8a:5£ :1d:1£:24:d6:e0:b5:4c:0a: 
£d:£0:0d:13:46:a1:e2:92:58:cb:de:d1:82:bd:a8:c6:dd:f4: 
dd:fc:£3:d7:£1:6£:da:1a:37:15:97:7c:bb:88:0£:9e:96:4c: 
6b:d6:a6:46:e0:d0:61:4c:ea:9b:fa:a9:64:06:9d:6£:e4:3d: 
89:0b:81:£7:a£:48:96:£0:be:0£:6d:2c:84:8e:e5:d5:44:8b: 

b2:de:ce:bd:21:d4:11:e6:65:64:2c:10:4e:88: 
51:8b:dc:69:ba:04:79:c7:b3:de:33:1b:54:e7:e3:4c:c2:d7: 
05:18:4d:f4:9c:2b:25:ec:00:18:0a:31:36:5c:8c:c5:05:05: 
7e:62:e7:af:4c:72:08:£8:42:b8:c9:41:ac:14:1e:49:ac:15: 
8c:a2:53:e7 


MIID8TCCAtmgAwIBAgIJAJwIE3HKcsasMA0GCSqGSIb3DQEBBQUAMHQxCzAJBgNV 
BAYTAkNOMQswCQYDVQOIDAJHRDEPMAOGA1UECgwGVE9HTOdPMQOwCwYDVOOLDARY 
WFpYMRgwFgYDVQODDA94 eHp4LnRvZ29nby5 jb20xH jAcBgkqhk iG9wO0BCOEWD3h4 
enhAdG9nb2dvLmNvbTAeFwOxMjEwMTMWNzAyNTdaFwOxMzEWMTMwNzAyNTdaMH8x 
CzAJBgNVBAYTAkNOMOswCOYDVOOIDAJHRDELMAkGA1UEBwwCR1 oxDzANBgNVBAoM 
BIRPRO9HTzENMAsGA1UECwwEUKhDRTEXMBUGA1 UEAwwOd3d3LnRvZ29nby5 jb20x 
HTAbBgkqhk iG9w0BCQEWDnd3d0BOb2dvZ28uY29 tMIIBI;jANBgkqhkiG9wOBAQEF 
AAOCAQ8AMIIBCgKCAQEAzxWCSeMGixkuFsKnORyB7j + E3GCByLtgW5t/tRUlS3h/ 
OrvDTbwe9 jGdRWrOuFaPRrpB7Wx/J/IhvullUKu3vasXV8PWMDGvHERRzsoaa351 
FxyZbXADjSE3Han4dq/ v3 jPRSxzchlH + c6tnfHd93rFqquXbOlldaz83q6rtq/naz 
upK/MOkErHnf2/qT5uS6nIuJxD1eIH1DjULFQjf 1CwAqOv5Kqga5Ao6 hUQn6XLF i 
2GUsDlnUgZelzMRZsZ2TQe36eXdgMN1VdSrsHvY98V4YLlnereSXowB8GER + /zZOr 
kZLByi + vs54z4GFY1wGQJOiaVJlShxHYtyHf/EdqVwIDAQABo3sweTAJBgNVHRME 
AjAAMCwGCWCGSAGG + EIBDQOfFh1PcGVuU1 NMIEdlbmVyYXRlZCBDZXJOaWZpY2FO 
ZTAdBgNVHQ4EFgQUZcQ8/ vz0cDmbqnQFO0b1 GwFGi t10wHwYDVRO jBBgwFoAUNrIM 
d42N0r/HzJFVR1czobuHQGowDQYJKoZIhvcNAQEFBOADggEBAFfEYGeDTs ioei0n 
feIqRbG + i185JOoqGnnsMVZuDYc42BEaRetgF5sr7220w07ebsSUil/WmZwSo + geU 
QRNtXjOPZ2ns;jROdzxAFDE + bMvtlS1GYggUryb8tG2b9Wv7t6Fysil8dHyTWALVM 
Cv3wDRNGoeKSWMveOYK9 qMbd9N3889 f xb9oaNxWX£LuID56WTGvWpkbgOGFM6pv6 
qWQGnW/kPYkLgfevSJbwvg9tLISOSdVEixsgiEKy3s69IdQR5mVkLBBOiFGL3Gm6 
BHnHs94zG1 Tn40zC1 wUYT£ScKyXsABgKMTZc jMUFBX5 1569Mcg j4Qr jJQawUHkms 


Signed certificate is in newcert. pem 


通过 以 上 操作 产生 了 Web 服务 器 的 公 钥 证 书 newcert. pem, 把 此 证 书 发 送 给 Web 服 


务 器 。 


(5) 配置 Web 服务 器 。 假 设 Web 服务 器 的 公 钥 证 书 与 私 钥 证 书 都 保存 在 目录 /etc/ 


httpd/conf. d/ 中 。 


[root(2localhost conf.d]# 11 


total 36 

—rw-r--r--. lrootroot 118 May 20 2009 mod dnssd. conf 
—rw-r--r--. 1 root root 4599 Oct 13 15:04 newcert. pem 
-rw-r--r--. 1 root root 1834 Oct 13 15:04 newkey. pem 
-rw-r--r--. lrootroot 392 Aug 14 2010 README 
-rw-r--r--. 1l root root 9473 Dec 8 2009 ssl.conf 
-rw-r--r--. 1 root root 299 May21 2009 welcome. conf 


[root@ localhost conf.d]# vim ssl.conf 


修改 以 下 两 个 选项 , SSLCertificateFile 选项 用 于 指定 Web 服务 器 的 公 钥 证 书 ， 
SSLCertificateKeyFile 选项 用 于 指定 Web 服务 器 的 私 钥 证 书 。 


SSLCertificateFile /etc/httpd/conf. d/newcert. pem 


SSLCertificateKeyFile /etc/httpd/conf. d/newkey. pem 


(6) 因为 修改 了 Apache 的 配置 文件 ,因此 ,重启 Web 服务 器 才能 使 刚才 的 设置 生效 。 


[root@ localhost conf.d]# /etc/rc.d/init.d/httpd restart 


Stopping httpd: 


[FAILED] 


Starting httpd: Apache/2.2.15 mod ssl/2.2.15 (Pass Phrase Dialog) 
Sone of your private key files are encrypted for security reasons. 
In order to read them you have to provide the pass phrases. 


Server localhost. localdomain:443 (RSA) 
Enter pass phrase: 
OK: Pass Phrase Dialog successful. 


// 此 时 要 求 输入 Web 服务 器 私 钥 的 保护 密码 


[ OK ] 


CD 客户 端的 测试 。 把 CA 的 证 书 下 载 至 本 地 ,然后 导入 至 浏览 器 。 导 入 后 打开 浏览 
器 ,在 地 址 栏 中 输入 “https://www. wyl. com”, 即 采用 HTTPS 的 方式 访问 Web 服务 


器 了 。 


8 y 


1. 选择 题 
(1) SSL 指 的 是 ( 加 
A. 加 密 认 证 协议 
C. 授权 认证 协议 
(2) 以 下 不 属于 GPG 加 密 算 法 特点 的 是 ( 
A. 计算 量 大 
C. 使 用 两 个 密码 


题 


) 


B. 安全 套 接 层 协议 
D. 安全 通道 协议 


B. 处 理 速度 慢 
D. 适合 加 密 长 数据 
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(3) GPG 可 以 实现 数字 签名 ,以 下 关于 数字 签名 说 法 正确 的 是 ( Jis 
A. 数字 签名 是 在 所 传输 的 数据 后 附加 上 一 段 和 传输 数据 毫 无 关系 的 数字 信息 
B. 数字 签名 能 够 解决 数据 的 加 密 传输 , 即 安全 传输 问题 
C. 数字 签名 一 般 采 用 对 称 加 密 机制 
D. 数字 签名 能 够 解决 自 改 、 伪 造 等 安全 性 问题 


(4) CA 指 的 是 ( M 
A. 证 书 授权 B. 加 密 认 证 
C. 虚拟 专用 网 D. 安全 套 接 层 


(5) HTTPS 是 一 种 安全 的 HTTP 协议 , 它 使 用 ( O ) 来 保证 信息 安全 ,使 用 ( OO ) 
来 发 送 和 接收 报 文 。 


(D A. IPSec B. SSL C. SET D. SSH 
Q A. TCP 的 443 端口 B. DP 的 443 端口 
C. TCP 的 80 端口 D. UDP 的 80 端口 
2. 填空 题 
(D SELinux 的 模式 有 disable, 3 种 。 
(2) 当 不 使 用 LUKS 技术 加 密 的 磁盘 时 , 先 磁盘 ,再 锁定 磁盘 。 
(3) GPG 加 密 文件 使 用 的 是 现在 加 密 体制 的 加 密 算法 。 
(4) 是 通过 生成 一 个 数据 库 文件 来 验证 系统 的 文件 有 没有 被 用 户 或 黑客 所 修 
改过 。 

(5) HTTPS 能 实现 Web 服务 器 与 客户 机 之 间 数 据 包 的 加 密 , 以 及 Web 服务 


器 的 身份 。 


第 8 章 VPN 技 术 


虚拟 专用 网 (VPN) 是 一 种 新 型 的 网 络 技术 , 它 提供 了 一 种 通过 公用 网 络 对 企业 内 部 专 
用 网 进行 远程 安全 访问 的 连接 方式 。 采 用 VPN 技术 ,企业 或 部 门 之 间 的 数据 流 可 以 通过 
互联 网 透明 安全 地 传输 ,有 效 地 提高 应 用 系统 的 安全 性 。 

» 学 习 目 标 : 

。 熟悉 加 密 技术 与 完整 性 校 验 在 VPN 技术 中 的 应 用 。 

。 掌握 在 Windows Server 2008 下 实现 远程 访问 VPN. 

。 掌握 在 Cisco 路 由 器 上 实现 站 点 到 站 点 VPN. 

* 掌握 在 RHEL5 下 使 用 传输 模式 与 隧道 模式 实现 IPSec VPN, 

» 课业 任务 : 

本 章 通过 两 个 实际 课业 任务 ,由 浅 和 深 、 循 序 渐进 地 介绍 VPN 技术 的 两 种 常见 的 应 
用 ,远程 访问 VPN 与 站 点 到 站 点 VPN. 

A 课业 任务 8-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , 现 在 在 广州 出 差 , 住 在 花园 酒店 。 在 出 差 期 间 ， 
需要 访问 公司 总 部 的 OA 系统 (考虑 到 安全 性 ,OA 系统 并 未 发 布 到 互联 网 ) ,Bob 在 公司 总 
部 使 用 Windows Server 2008 部 署 了 一 台 VPN Server. Bob 预 采 用 VPN 方法 通过 拨号 连 
接 至 公司 总 部 来 访问 总 部 的 OA 系统 。 

能 力 观 测 点 

远程 访问 VPN 原理 ; Windows Server 2008 下 VPN 服务 器 端 配 置 ; VPN 客户 端 
配置 。 

A 课业 任务 8-2 

在 课业 任务 3-1 中 ,Bob 与 Alice 之 间 采 用 PGP 实现 加 密 传送 文件 ,这 种 方法 不 适合 频 
繁 地 交换 文件 ,也 是 比较 烦琐 的 。 一 种 更 好 的 方法 是 ,可 以 在 Bob 所 在 的 公司 总 部 与 Alice 
所 在 的 公司 分 部 之 间 建 立 站 点 到 站 点 的 VPN ,他 们 把 自己 的 文件 放置 在 公司 总 部 的 FTP 
服务 器 上 ,如 此 一 来 ,就 可 以 通过 IPSec 的 ESP 协议 保证 Alice 与 Bob 之 间 在 互联 网 上 频繁 
传送 公司 机 密 文 件 时 的 安全 性 。 

能 力 观 测 点 

站 点 到 站 点 VPN 原理 ; 思科 路 由 器 IPSec VPN 配置 。 


网 络 安 全 项 大 与 实践 


8.1 VPN 技术 概述 


8.1.1 VPN 的 定义 


VPN( Virtual Private Network ,虚拟 专用 网 络 ) 被 定义 为 通过 一 个 公用 网 络 (通常 是 因 
特 网 ) ,在 两 个 私有 网 络 之 间 建 立 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 混乱 的 公用 网 络 的 安 
全 、 稳 定 隧道 。 使 用 这 条 隧道 可 以 对 数据 进行 加 密 , 以 达到 安全 使 用 互联 网 的 目的 。 虚 拟 专 
用 网 是 对 企业 内 部 网 的 扩展 。 虚 拟 专 用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 .商业 伙伴 及 供 
应 商 同 公司 的 内 部 网 建立 可 信 的 安全 连接 ,可 经 济 、 有 效 地 连接 到 商业 伙伴 和 用 户 的 安全 外 
联网 。 如 图 8. 1 所 示 , 通 过 互联 网 在 北京 总 部 与 广州 分 公司 之 间 建 立 了 一 个 虚拟 专用 网 络 ， 
以 保证 北京 总 部 与 广州 分 公司 之 间 的 局 域 网 之 间 能 通过 互联 网 安全 地 通信 。VPN 主要 采 
用 隧道 技术 .加 解密 技术 、 密 钥 管 理 技术 和 身份 认证 技术 。 


d : Internet 4 : 


北京 总 部 广州 分 公司 


图 8.1 VPN 示 意图 
8.1.2 VPN 的 类 型 


VPN 为 远 端 用 户 在 公共 网 络 基 础 上 提供 与 他 们 在 私有 网 络 上 相同 的 网 络 连通 性 。 
VPN 在 网 络 连 接 上 包括 两 种 基本 类 型 。 

1. 远程 访问 VPNCRemote Access VPN) 

远程 访问 VPN 将 远 端 用 户 通过 拨号 的 方式 安全 地 接 人 到 企业 内 部 网 络 , 例 如 移动 用 
户 和 家 庭 办 公用 户 安全 地 连接 到 企业 。 

2. 站 点 到 站 点 VPN(Site to Site VPN) 

有 两 种 常见 的 站 点 到 站 点 VPN 类 型 ,也 称 为 LAN to LAN VPN, 

* 内 联网 VPN: 是 指 在 一 个 公 网 基础 设施 上 连接 公司 总 部 、 远 端 办 公 室 及 分 部 。 

。 外 联网 VPN: 是 指 在 一 个 公 网 基础 设施 上 将 客户 、 供 应 商 、 合 作 方 或 利益 相关 体 连 

接 到 公司 内 联网 。 


8.1.3 实现 VPN RE if 45. 


为 了 能 够 在 公 网 中 形成 企业 专用 的 链 路 网 络 ,VPN 采用 隧道 (Tunneling) 技 术 模 拟 点 
到 点 连接 技术 ,依靠 ISP 和 其 他 网 络 服务 提供 商 在 公 网 中 建立 自己 专用 的 “隧道 ”, 让 数据 包 
通过 隧道 传输 。 

隧道 技术 指 的 是 利用 一 种 网 络 协议 传输 另 一 种 网 络 协议 ,也 就 是 将 原始 网 络 信息 进行 
再 次 封装 ,并 在 两 个 端点 之 间 通 过 公共 互联 网 络 进行 路 由 ,从 而 保证 网 络 信息 传输 的 安全 
性 。 它 主要 利用 隧道 协议 来 实现 这 种 功能 ,具体 包括 第 二 层 隧道 协议 (用 于 传输 二 层 网 络 协 


议 ) 和 第 三 层 隧道 协议 (用 于 传输 三 层 网 络 协议 ) 。 

第 二 层 隧道 协议 是 在 数据 链 路 层 进行 的 。 先 把 各 种 网 络 协议 封装 到 PPP 包 中 ,再 把 整 
个 数据 包装 入 隧道 协议 中 ,这 种 经 过 两 层 封装 的 数据 包 由 第 二 层 协议 进行 传输 。 第 二 层 隧 
道 协议 有 以 下 几 种 。 

e PPTP(RFC 2637,Point to Point Tunneling Protocol) 。 

* L2F(RFC 2341. Layer 2 Forwarding) 。 

* L2TP(RFC 2661.Layer Two Tunneling Protocol. 

第 三 层 隧 道 协议 是 在 网 络 层 进行 的 。 把 各 种 网 络 协议 直接 装 和 人 隧道 协议 中 ,形成 的 数 
据 包 依靠 第 三 层 协议 进行 传输 。 第 三 层 隧道 协议 有 以 下 几 种 。 

。 IPSec(IP Security) 是 目前 最 常用 的 VPN 解决 方案 。 

e GRE(RFC 2784.General Routing Encapsulation) 。 

隧道 技术 包括 了 数据 封装 .传输 和 解 包 在 内 的 全 过 程 。 

封装 是 构建 隧道 的 基本 手段 , 它 使 得 IP 隧道 实现 了 信息 隐蔽 和 抽象 。 封 装 器 建立 封装 
报头 ,并 将 其 追加 到 纯 数据 包 的 前 面 。 当 封装 的 数据 包 到 达 解 包 器 时 ,封装 报头 被 转换 回 纯 
报头 ,数据 包 被 传送 到 目的 地 。 

隧道 的 封装 具有 以 下 特点 。 

。 源 实体 和 目的 实体 不 知道 任何 隧道 的 存在 。 

* 在 隧道 的 两 个 端点 使 用 该 过 程 ,需要 封装 器 和 解 包 器 两 个 新 的 实体 。 

* 封装 器 和 解 包 器 必须 相互 知晓 ,但 不 必 知 道 在 它们 之 间 网 络 上 的 任何 细节 。 


8.2 远程 访问 VPN 


8.2.1 远程 访问 VPN 概述 


远程 访问 VPN 是 指 对 远 端 用 户 ( 移 动用 户 或 家 庭 办 公用 户 ) 通 过 公共 网 络 连接 到 公司 
局 域 网 ,以 进行 安全 保护 ,如 图 8.2 所 示 。 
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图 8.2 远程 访问 VPN 
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基于 Windows 的 VPN 主要 采用 PPTP( 点 对 点 隧道 协议 ) 技 术 , 它 工作 在 第 二 层 。 通 
过 该 协议 ,远程 用 户 能 够 通过 Windows XP、Windows 2003 等 操作 系统 及 其 他 装 有 点 对 点 
协议 的 系统 安全 访问 公司 网 络 。 它 是 建立 在 PPP( 点 对 点 协议 ) 的 基础 上 的 ,提高 了 PPP 的 
安全 级 别 , 让 PPP 可 以 对 PPTP 服务 器 与 PPTP 客户 机 之 间 的 数据 进行 加 密 传输 (使 用 
Microsoft 点 对 点 加 密 来 加 密 PPP 帧 ) ,并 使 PPTP 服务 器 可 以 对 远程 用 户 的 身份 进行 验证 
(使 用 可 扩展 身份 验证 协议 EAP), Internet 本 身 只 允许 使 用 TCP/IP 通信 ,而 PPTP 解决 
了 在 Internet. 上 用 多 种 协议 进行 通信 的 问题 。PPTP 通过 将 IP、IPX 或 NetBEUI 封装 在 
PPP 数据 包 中 来 支持 使 用 这 些 协议 ,这 意味 着 可 以 远程 运行 依赖 特殊 网 络 协议 的 应 用 程 
序 。PPTP 能 够 用 于 LAN, WAN,Internet 及 其 他 基于 TCP/IP 的 网 络 ,具体 的 过 程 是 ,一 
个 PPTP 客户 机 通过 拨号 连接 来 建立 一 条 PPTP 隧道 ,第 一 次 通过 PPP 协议 与 ISP 建立 连 
接 ,第 二 次 在 上 一 次 的 PPP 连接 的 基础 上 再 次 “拨号 ”, 建 立 一 个 与 企业 局 域 网 的 PPTP 服 
务 器 的 VPN 连接 。 拨 号 拨 的 是 当地 ISP. 的 电话 ,而 不 是 企业 内 部 电话 ,节省 了 长 话费 用 。 
在 局 域 网 中 也 可 以 使 用 PPTP, 如 果 客户 机 直接 连接 到 IP 局 域 网 ,并 且 和 服务 器 建立 了 一 
个 IP 连接 ,就 可 以 通过 局 域 网 建立 PPTP 隧道 。 


8.2.2 基于 Windows Server 2008 实现 远程 访问 VPN 


A 课业 任务 8-1 

Bob Jy WYL 公司 的 安全 运 维 工 程 师 , 现 在 在 广州 出 差 , 住 在 花园 酒店 。 在 出 差 期 间 ， 
需要 访问 公司 总 部 的 OA 系统 (考虑 到 安全 性 ,OA 系统 并 未 发 布 到 互联 网 ),Bob 在 公司 总 
部 使 用 Windows Server 2008 部 署 了 一 台 VPN Server. Bob 预 采用 VPN 方法 通过 拨号 连 
接 至 公司 总 部 来 访问 总 部 的 OA 系统 。 

课业 任务 8-1 的 拓扑 如 图 8.3 所 示 。VPN Server 安装 的 操作 系统 是 Windows Server 
2008, 其 上 安装 有 两 块 网 卡 。 一 块 网 卡 接 人 互联 网 ,IP 地 址 为 10. 0. 0. 2/8; 另 一 块 网 卡 连 
接 公司 总 部 局 域 网 ,IP 地 址 为 192. 168. 1. 254/24。Bob 在 广州 出 差 , 通 过 花园 酒店 的 局 域 
网 接 入 互联 网 ,Bob 的 计算 机 获取 的 IP 地 址 为 10. 0. 0. 1/8。 现 在 ,Bob 想 通 过 互联 网 访问 
公司 总 部 的 OA 系统 ,进行 办 公 。 


OA Server 
192.168.1.1/24 
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内 网 卡 : 


192.168.1.254/24 公司 总 部 PC 
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图 8.3 远程 访问 VPN 服务 器 拓扑 


具体 步骤 如 下 。 
1. 安装 VPN Server 
(1) 安装 【网 络 策略 和 访问 服务 了 角色 。 打 开 【 服 务 器 管理 器 了 窗口 ,运行 添加 角色 向 导 ， 


在 【选择 服务 器 角色 】 对 话 框 中 选择 【网络 策 略 与 访问 服务 ] 复 选 框 ,如 图 8. 4 所 示 。 


添加 角色 向 导 n 3 
is. 选择 服务 器 角色 

开始 之 前 选择 要 安装 在 此 服务 器 上 的 一 个 或 多 个 角色 。 

服务 器 角色 RBO: das: 

网 络 第 鸭 和 访问 服务 DT EE M 
和 角色 服务 O Active Directory 联合 身份 验证 服务 pur 
s E Active Directory 村 到 目录 服务 EAHA 

dn O Active Directory 域 服务 

进度 O Active E irectory 证 书 服务 

um 服务 器 

O 文件 服务 
O 应 用 程序 服务 器 
口 终端 服务 
有 关 服 务 器 角色 的 详细 信息 
< E-500 FED 取消 


图 8.4 添加 角色 向 导 


(2) 在 如 图 8. 4 所 示 的 对 话 框 中 单 击 【 下 一 步 ] 按 钮 ,弹出 【网 络 策略 和 访问 服务 对 话 
框 ,从 中 显示 了 网 络 策略 和 访问 服务 信息 

(3) 单 击 [下 一 步 ] 按 钮 , 强 出 如 图 8 8. 5 所 示 的 【选择 角色 服务 了 对话 框 ,因为 仅 配置 
PPTP VPN 服务 器 ,因此 本 任务 选择 【路 由 和 远程 访问 服务 ] 复 选 框 。 


添加 角色 向 导 


选择 为 网 络 第 略 和 访问 服务 安装 的 角色 服务 
角色 服务 (0: 


SHOE HER 
可 以 提供 LAN 和 和 JAN 路 由 服务 ， 
PTERA 室内 的 网 络 段 ， 
或 通过 Internet 连接 两 个 专用 


《上 =- 步 四 EE] 取消 


8.5 选择 角色 服务 
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后 面 的 安装 过 程 只 需 一 步 步 地 单 击 【下 一 步 ] 按 钮 ,最 后 根据 提示 重启 系统 , 即 可 完成 
VPN Server 的 安装 。 

2. 配置 VPN Server 

CD 选择 [管理 工具 】>【 路 由 和 远程 访问 ] 工 具 , 右 击 服务 器 名 称 ,在 弹出 的 快捷 菜单 中 
选择 【配置 并 启用 和 远程 访问 了 命令 ,在 打开 安装 向 导 中 单 击 [下 一 步 ] 按 钮 。 

(2) 在 弹出 的 如 图 8. 6 所 示 的 【配置 对话 框 中 ,选择 [远程 访问 (拨号 或 VPN) JA ik 
钮 , 单 击 [ 下 一 步 ] 按 钮 。 


路 由 和 远程 访问 服务 器 去 装 向 导 


配置 
您 可 以 启用 下 列 服务 的 任意 组 合 ， 或 者 您 可 以 自 定义 此 服务 器 。 


SERES ESSR vro W) 
人 的 和 专用 FB omo Internet iti 

C 网 络 地 转换 0D © 
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有 关 详 细 信 息 


«r-5m[r—5o»] 取消 
图 8.6 设置 服务 器 访问 方式 


G) 在 弹出 的 [VPN 连接 ] 对 话 框 中 ,在 【网 络 接口 列表 框 中 选择 连接 到 Internet 的 接 
口 ,如 图 8.7 所 示 , 单 击 【[ 下 一 步 ] 按 钮 。 


路 由 和 运程 访问 服务 器 安装 肯 导 


YE 连接 
Eit vr 客户 呈报 到 此 服务 器 ， 至 少 要 有 一 个 网络 接连 报到 amm 
internet, Là 


选择 格 此 服务 器 连接 到 Internet MEKARO. 


厂 通过 设置 基本 防火 墙 来 对 选择 的 接口 进行 保护 QD. 
基本 防火 墙 防止 未 授权 的 用 户 通过 Internet 访问 此 服务 器 。 


有 关 网 络 接口 的 更 多 信息 ， 请 参阅 路 由 和 运程 访问 帮助 . 


《< 上 一步 四 x | 


图 8.7 选择 连接 外 网 的 网 络 接口 


CO 在 弹出 的 [IP 地 址 指定 了 对 话 框 中 选择 【来 自 一 个 指定 的 地 址 范围 ] 单 选 按钮 ,如 
图 8. 8 所 示 , 单 击 【下 一 步 ] 按 钮 。 


路 由 和 运程 访问 服务 器 安装 向 导 


IP 地 址 指定 
您 可 以 选择 对 远程 客户 端 指派 IP 地 址 的 方法 。 


您 想 如 何 对 和 远程 客户 请 指派 IP 地 址 ? 
C 自动 由 
ius nr s Pire. 请 确认 它 配置 正确 。 加 果 没 有 使 


《上 - 步 @) [下 - 步 中 )] mm 
图 8.8 指定 客户 端 获得 IP 地 址 的 方式 
(5) 在 弹出 的 [地址 范围 指定 】 对 话 框 中 单 击 【 新 建 ] 按 钮 ,本 任务 设置 起 始 IP 地 址 为 


192. 168. 1. 101 结束 IP 地 址 为 192. 168. 1. 110 , 单 击 【 确 定 】 按 钮 返回 上 一 级 ,如 图 8.9 
所 示 。 
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图 8.9 地 址 范围 指定 


(6) 结束 路 由 和 远程 访问 服务 器 的 配置 ,并 开始 启动 路 由 服务 ,界面 如 图 8. 10 所 示 。 

(7) 至 此 ,服务 器 还 需要 建立 一 个 VPN 账号 和 密码 ,打开 [计算 机 管理 窗口 ,打开 
【新 用 户 3 对 话 框 ,从 中 创建 一 个 用 户 名 为 wyl, 密码 为 abel23 的 VPN 账号 ,如 图 8. 11 
所 示 。 


VPN 4 


地 co wi 


BHAERAGK5ExX 


路 由 和 远程 访问 E =o 

ZPD FO FEV 帮助 0 

e| m XO cH m 

Z sanma 
ESSIE 


日 D 运程 访 - 
cm unus WO | 此 服务 器 上 配置 了 路 由 和 远程 访问 


E O O a a 
z TEASER BEQEHDRGTE. STERSIDEKEIHARO. RES 
Ej re 


图 8.10 配置 好 的 【路 由 和 远程 访问 界面 


(8) 在 【计算 机 管理 ] 窗 口中 右 击 wyl 用 户 ,在 弹出 的 快捷 菜单 中 选择 [属性 了 命令 ,在 弹 
出 的 [wyl 属性 对 话 框 中 选择 【 拨 和 人 选项 卡 ,选择 【允许 访问 了 单 选 按钮 , 单 击 【确定 按钮 ， 
如 图 8. 12 Bros ,此 时 服务 器 就 配置 好 了 。 
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图 8.11 创建 VPN 用 户 8.12 允许 此 用 户 拨 入 访问 


3. 在 VPN Client 端的 具体 操作 

Bob 在 广州 出 差 , 住 在 花园 酒店 , 他 想 通 过 互联 网 访问 公司 总 部 的 OA 系统 ,进行 办 
公 。Bob 的 计算 机 在 花园 酒店 自动 获取 的 局 域 网 TP 地 址 为 10. 0. 0. 1/8, 他 现在 需要 进行 
VPN 拨号 接 人 总 部 ,然后 才能 访问 到 公司 总 部 的 OA 系统 。 在 Bob 的 计算 机 上 进行 的 具体 
操作 步骤 如 下 。 


CD 打开 【网络 连 接 ] 窗 口 , 单 击 【新 建 连接 向 导 ] 链 接 , 在 弹出 的 [欢迎 使 用 新 建 连接 向 
导 】 对 话 框 中 单 击 【 下 一 步 ] 按 钮 ,如 图 8. 13 所 示 。 


欢迎 使 用 新 建 连 接 向 导 


dt Saas 
* HERI Internet. 
* 连接 到 | 专用 网 络 ， 例 如 您 的 办 公 网 络 。 


。 设 置 一 个 家 庭 或 小 型 办 公 网 络 。 


要 继续 ,请 单 击 “ 下 一 步 ”。 


图 8.13 新 建 连接 向 导 


(2) 在 弹出 的 [网 络 连接 类 型 3 对 话 框 中 选择 【连接 到 我 的 工作 场所 的 网 络 】 生 
如 图 8. 14 所 示 , 单 击 [下 一 步 ] 按 钮 。 


TE 


选 按钮 ， 


网 络 连 接 类 型 a 
prre 
您 想 做 什么 ? e) 


ORI Internet ©) 
连接 到 Internet ,这样 您 就 可 以 浏览 Yeb 或 阅读 电子 邮件 。 


 FERCSERT T VERSA TOFU 0) 
SERRE HIIS (GAASI vr, REPHERERTLURRIESEAEOUCHR 
公 . 
CO 设置 家 庭 或 小 型 办 公 同 络 (8) 
连接 开 一 个 现 有 的 家 庭 或 小 型 办 公 同 络 ， 或 者 设置 一 个 新 的 
中 设置 高 级 连接 E) 


用 并 口 ,串口 或 红外 端口 直接 连接 到 | 其它 计算 机 ,或 设置 此 计算 机 使 其 它 
计算 机 能 与 它 连接 。 


< -ë V jJ[r—£ p > 取消 


图 8.14 选择 VPN 连接 


(3) 在 弹出 的 [网络 连接 对 话 框 中 选择 【虚拟 专用 网 络 连接 ] 单 选 按钮 ,如 图 8. 15 所 
示 , 单 击 【 下 一 步 3 按 钮 。 

(4) 在 弹出 的 【连接 名 对 话 框 中 ,本 任务 在 【公司 名 ] 文 本 框 中 输入 “thxy”, 如 图 8. 16 
所 示 , 单 击 【 下 一 步 ] 按 钮 。 

(5) 在 弹出 的 [VPN 服务 器 选择 ] 对 话 框 中 ,在 【主机 名 或 IP 地 址 ] 文 本 框 中 输入 IP 为 
“10. 0. 0. 2”, 如 图 8.17 所 示 , 单 击 【下 一 步 ] 按 钮 。 

(6) 在 弹出 的 [正在 完成 新 建 连接 向 导 】 对 话 框 中 选择 [在 我 的 桌面 上 添加 一 个 到 此 连 
接 的 快捷 方式 ] 复 选 框 ,如 图 8. 18 所 示 , 单 击 【 完 成 3 按钮 结束 客户 端的 配置 。 
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您 想 要 在 工作 点 如 何 与 网 络 连 接 ? 
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图 8.15 选择 虚拟 专用 网 络 连接 


新 建 连接 向 导 


连接 名 
指定 连接 到 效 的 工作 场所 的 连接 名 称 。 


在 下 面 杠 中 输入 此 连接 的 名 称 。 
公司 名 
they 


例如 ,您 可 以 输入 您 的 工作 地 点 各 或 您 连接 到 | 的 服务 器 名 。 


< 上- 步 四 ][ 下 =- 步 中 让 


8.16 输入 连接 名 称 


YPE 服务 器 选择 
VYPN 服务 器 的 名 称 或 地 址 是 什么 ? 


输入 您 正 连接 的 计算 机 的 主机 名 或 IP 地 址 。 


主机 名 或 IF 地 址 (例如 ，microsoft. com 或 157.54.0.1) QD. 


[1.0.0.2 


CSEE] 


图 8.17 输入 VPN 服务 器 的 IP 地 址 


4. 测试 

CD 拨号 测试 。 在 如 图 8. 19 所 示 的 对 话 框 中 ,输入 在 VPN Server 端 创建 的 VPN 账号 
的 用 户 名 和 密码 (用 户 名 为 wyl, 密 码 为 abc123) , 单 击 【 连 接 ] 按 钮 ,弹出 [网 络 连接 ] 窗 口 ,可 
以 看 到 一 个 名 为 thxy 的 虚拟 专用 网 络 连接 ,如 图 8. 20 所 示 。 


正在 完成 新 建 连接 向 导 


你 已 成 功 完成 创建 下 列 演 接 需 要 的 步 台 


try 
* 与 此 计算 机 上 的 所 有 用 户 共 享 


此 连接 将 被 存 入 “网 络 连接 ”文件 夫 。 
CESSAT ER 30— TORR 
口 为 下 面 用 户 保存 用 户 名 和 窗 码 O): 
ORERUSROUEHIS S Bh “ER”. x 


Co Ce cU 


图 8.18 完成 VPN 连接 向 导 图 8.19 开始 VPN 连接 


文件 中 ”编辑 EE) SEV 收藏 AW) IAV Saw MHW 
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FORI 


8.20 显示 VPN 连接 


(2) 打开 客户 端 CMD, 用 ipconfig 命令 查看 VPN 接口 PPTP, 可 以 看 到 PPP 接口 相关 
的 信息 ,也 可 以 使 用 netstat 命令 查看 PPTP 服务 器 的 IP 地 址 是 10. 0. 0.2,PPTP 所 使 用 的 
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端口 为 1723, 具 体 如 下 。 


C:\Documents and Settings\Administrator > ipconfig /all 
Windows IP Configuration 


PPP adapter THXY: 


Connection. specific DNS Suffix 


Default Gateway . . . . 


C:\Documents and SettingsMAdministrator? netstat - anp tcp 
Active Connections 


Proto 


Local Address Foreign Address State 
0.0.0.0:25 0.0.0.0:0 LISTENING 
0.0.0.0:80 0.0.0.0:0 LISTENING 
0.0.0.0:135 0.0.0.0:0 LISTENING 
0.0.0.0:443 0.0.0.0:0 LISTENING 
0.0.0.0:445 0.0.0.0:0 LISTENING 
0.0.0.0:912 0.0.0.0:0 LISTENING 
0.0.0.0:1050 0.0.0.0:0 LISTENING 
0.0.0.0:1723 0.0.0.0:0 LISTENING 
0.0.0.0:6649 0.0.0.0:0 LISTENING 
0.0.0.0:12620 0.0.0.0:0 LISTENING 
10.0.0.1:139 0.0.0.0:0 LISTENING 
10.0.0.1:1929 10.0.0.2:1723 ESTABLISHED 
127.0.0.1:1057 0.0.0.0:0 LISTENING 
127.0.0.1:1138 127.0.0.1:1139 ESTABLISHED 
127.0.0.1:1139 127.0.0.1:1138 ESTABLISHED 
127.0.0.1:1153 127.0.0.1:1154 ESTABLISHED 
127.0.0.1:1154 127.0.0.1:1153 ESTABLISHED 
127.0.0.1:5354 0.0.0.0:0 LISTENING 
192.168.1.102:139 0.0.0.0:0 LISTENING 
192.168.1.102:1986 61.147.76.3:80 SYN SENT 


(3) 在 Windows XP 查看 拨号 ,如 图 8. 21 所 示 ,我 们 可 以 查看 建立 成 功 的 PPTP 连接 


属性 。 此 时 


,Bob 在 花园 酒店 就 可 以 通过 IE 浏览 器 访问 到 企业 内 部 的 OA 服务 器 了 ,如 


图 8. 22 所 示 。 
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图 8.21 VPN 客户 端 属性 图 8.22 Bob 在 花园 酒店 访问 到 的 公司 OA 服务 器 


8.3 站 点 到 站 点 VPN 


8.3.1 站 点 到 站 点 VPN 概述 


随 着 公司 规模 的 不 断 扩大 ,企业 办 公 地 点 不 再 集中 在 同一 个 地 方 ,而 是 分 布 在 不 同 的 地 
理 区 域 , 甚 至 跨越 不 同 的 国家 。 因 此 ,要 将 不 同 地 理 位 置 的 企业 通过 LAN 连接 起 来 ,并 安 
全 地 保证 数据 在 互联 网 上 传送 ,就 可 以 用 站 点 到 站 点 的 VPN 实现 ,如 图 8. 23 所 示 。 


Remote sites Central Site 


Extranet 


^ m : Intranet 
$ Business-to-business 


Intranet 


8.23 站 点 到 站 点 VPN 


传统 的 方法 是 采用 专线 来 对 各 种 LAN 进行 连接 ,这 样 虽然 保证 了 数据 传输 的 安全 性 ， 
但 是 网 络 建设 的 费用 与 后 期 的 管理 费 不 但 非常 昂贵 ,而 且 会 使 企业 间 的 商贸 交易 程序 复 
杂 化 。 

站 点 到 站 点 的 VPN 有 时 也 称 为 LAN to LAN 的 方式 ,也 就 是 把 分 布 在 不 同 地 理 位 置 
的 局 域 网 通过 互联 网 连接 起 来 ,形成 一 个 企业 内 部 网 络 ,以 保证 数据 在 互联 网 上 安全 地 
传送 。 
8.3.2 IPSec 协议 


要 实现 站 点 到 站 点 的 VPN, 最 常用 的 协议 为 IPSec 协议 。IPSec 协议 不 是 一 个 单独 的 
协议 , 它 给 出 了 应 用 于 IP 层 上 的 网 络 数据 安全 的 一 整套 体系 结构 ,包括 报 文 认证 头 协议 
(Authentication Header. AH) 、 报 文安 全 封装 协议 (Encapsulating Security Payload, ESP) , 
密 钥 交换 协议 (Internet Key Exchange,IKE) 和 用 于 网 络 认 证 及 加 密 的 一 些 算法 等 。IPSec 
规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 、 确 定安 全 算法 和 交换 密 钥 , 向 上 提供 了 访问 控制 、 
数据 源 认 证 .数据 加 密 等 网 络 安全 服务 。 

IPSec IP Security) 是 IETF 制定 的 能 保证 在 Internet. 上 传送 数据 的 安全 保密 性 能 的 三 
层 隧 道 加 密 协 议 。IPSec 在 IP 层 对 IP 报 文 提供 安全 服务 。IPSec 协议 本 身 定义 了 如 何在 
IP 数据 包 中 增加 字段 来 保证 IP 包 的 完整 性 .私有 性 和 真实 性 ,以 及 如 何 加 密 数 据 包 。 使 用 
IPsec, 数 据 就 可 以 安全 地 在 公 网 上 传输 。 

IPSec 包括 报 文 验证 头 协议 AH( 协 议 号 51) 和 报 文安 全 封装 协议 ESP( 协 议 号 50) 两 个 
协议 。AH 可 提供 数据 源 验 证 和 数据 完整 性 校 验 功能 ; ESP 除了 提供 数据 验证 和 完整 性 校 
验 功能 外 ,还 提供 对 IP 报 文 的 加 密 功 能 。 


VPN 扒 太 


地 co wi 
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IPSec 有 隧道 (Tunnel) 和 传送 (Transport) 两 种 工作 方式 。 在 隧道 方式 中 ,用 户 的 整个 
IP 数据 包 被 用 来 计算 AH 或 ESP 头 , 且 被 加 密 。AH 或 ESP 头 和 加 密 用 户 数据 被 封装 在 
一 个 新 的 IP 数据 包 中 。 在 传送 方式 中 ,只 是 传输 层 数据 被 用 来 计算 AH 或 ESP 头 ,AH 或 
ESP 头 和 被 加 密 的 传输 层 数据 被 放置 在 原 IP 包头 后 面 。 

1. IPSec 的 安全 性 

* 数据 机 密 性 (Confidentiality) : IPSec 发 送 方 在 通过 网 络 传输 包 前 对 包 进 行 加 密 。 

。 数据 完整 性 (Data Integrity) : IPSec 接收 方 对 发 送 方 发 送 来 的 包 进 行 认 证 ,以 确保 

数据 在 传输 过 程 中 没有 被 算 改 。 

。 数据 来 源 认 证 (Data Authentication? : IPSec 接收 方 对 IPSec 包 的 源 地 址 进行 认证 。 

这 项 服务 基于 数据 完整 性 服务 。 

。 反 重 放 (Anti. Replay): IPSec 接收 方 可 检测 并 拒绝 接收 过 时 或 重复 的 报 文 。 

2. IPSec 的 基本 概念 

CD 感 兴趣 数据 流 (Data Flow) 。 该 数据 流 为 一 组 具有 某 些 共同 特征 的 数据 的 集合 ,由 
源 地 址 / 掩 码 . 目 的 地 址 / 掩 码 , IP 报 文中 封装 上 层 协议 的 协议 号 、 源 端口 号 ,目的 端口 号 等 
来 规定 。 通 常 ,一 个 数据 流 采用 一 个 访问 控制 列表 来 定义 。 经 访问 控制 列表 匹配 的 所 有 报 
文 在 逻辑 上 为 一 个 数据 流 。 一 个 数据 流 可 以 是 两 台 主机 之 间 单 一 的 TCP 连接 ,也 可 以 是 两 
个 子 网 之 间 所 有 的 数据 流量 。IPSec 能 够 对 不 同 的 数据 流 施加 不 同 的 安全 保护 ,例如 对 不 
同 的 数据 流 使 用 不 同 的 安全 协议 .算法 或 密 钥 。 

(2) 安全 联盟 (Security Association. SA), IPSec 对 数据 流 提供 的 安全 服务 通过 安全 联 
盟 SA 来 实现 , 它 包 括 协议 ,算法 、 密 钥 等 内 容 ,具体 确定 了 如 何 对 IP 报 文 进行 处 理 。 一 个 
SA 就 是 两 个 IPSec 系统 之 间 的 一 个 单 向 逻辑 连接 ,输入 数据 流 和 输出 数据 流 由 输入 安全 联 
盟 与 输出 安全 联盟 分 别处 理 。 安 全 联盟 由 一 个 三 元 组 (安全 参数 索引 (SPI) IP 目的 地 址 、 
安全 协议 号 (AH 或 ESP)) 来 唯一 标识 。 安 全 联盟 可 通过 手工 配置 和 自动 协商 两 种 方式 建 
立 。 手 工 配置 方式 是 指 用 户 通过 在 两 端 手工 设置 一 些 参数 ,在 两 端 参数 匹配 和 协商 通过 后 
建立 安全 联盟 。 自 动 协商 方式 由 IKE 生成 和 维护 ,通信 双方 基于 各 自 的 安全 策略 库 , 经 过 
匹配 和 协商 ,最 终 建 立 安全 联盟 ,而 不 需要 用 户 的 干预 。 

G) 安全 参数 索引 (SPI) 。 这 是 一 个 32 位 的 数值 ,在 每 一 个 IPSec 报 文中 都 携带 该 值 。 
SPIIP 目的 地 址 、 安 全 协议 号 三 者 结合 起 来 构成 三 元 组 ,来 唯一 标识 一 个 特定 的 安全 联盟 。 
在 手工 配置 安全 联盟 时 ,需要 手工 指定 SPI 的 取 值 。 为 保证 安全 联盟 的 唯一 性 ,必须 使 用 不 
同 的 SPI 来 配置 安全 联盟 。 使 用 IKE 协商 产生 安全 联盟 时 ,SPI 将 随机 生成 。 

(4) 安全 联盟 更 新 时 间 (Life Time)。 安 全 联盟 更 新 时 间 有 以 时 间 进 行 限制 ( 即 每 隔 定 
长 的 时 间 进 行 更 新 ) 和 以 流量 进行 限制 ( 即 每 传输 一 定 字 节 数量 的 信息 就 进行 更 新 ) 两 种 
方式 。 

(5) 安全 策略 (Crypto Map)。 安 全 策略 由 用 户 手 工 配置 ,规定 对 什么 样 的 数据 流 采用 
什么 样 的 安全 措施 。 对 数据 流 的 定义 是 通过 在 一 个 访问 控制 列表 中 配置 多 条 规则 来 实现 
的 。 在 安全 策略 中 ,通过 引用 这 个 访问 控制 列表 来 确定 需要 进行 保护 的 数据 流 。 一 条 安全 
策略 由 名 称 和 顺序 号 确定 。 

(6) 变换 集 (Transform Mode) 。 变 换 集 包括 安全 协议 、 安 全 协议 使 用 的 算法 、 安 全 协 
议 对 报 文 的 封装 形式 ,规定 了 把 普通 的 IP 报 文 转换 成 IPSec 报 文 的 方式 。 在 安全 策略 中 ， 


通过 引用 一 个 变换 集 来 规定 该 安全 策略 采用 的 协议 .算法 等 。 

3. AH ESP 与 IKE 协议 

(OD AH 协议 。AH 协议 是 认证 头 协议 ,AH 协议 通过 使 用 带 密 钥 的 验证 算法 ,对 受 保 
护 的 数据 计算 摘要 。 通 过 进行 数据 完整 性 检查 ,可 判定 数据 包 在 传输 过 程 中 是 否 被 修改 。 
通过 使 用 认证 机 制 ,终端 系统 或 网 络 设备 可 对 用 户 或 应 用 进行 认证 ,过 滤 通 信 流 。 认 证 机 制 
还 可 防止 地 址 欺骗 攻击 及 重 放 攻击 。 

在 使 用 AH 协议 时 ,AH 协议 首先 在 原 数 据 前 生成 一 个 AH 报 文 头 , 报 文 头 包括 递增 
的 序列 号 (Sequence Number) 与 验证 字段 ( 空 )、 安 全 参数 索引 (SPD) 等 。AH 协议 将 对 新 的 
数据 包 进 行 离散 运算 ,生成 一 个 验证 字段 (Authentication Data) ,并 输入 AH 头 的 验证 字 
Bt, AH 协议 目前 提供 了 两 种 散 列 算法 ,分 别 是 MD5 和 SHA1, 这 两 种 算法 的 密 钥 长 度 分 
别 是 128 位 和 160 位 。 

AH 协议 在 隧道 模式 下 的 封装 如 图 8. 24 所 示 。 


H 有 效 负 载 
IP 包 头 数据 
1 I i 
1 1 1 
新 IP 包 头 |AH 验 证 包头 | 原 IP 包 头 数据 


H 验证 1 
8.24 AH 协议 在 隧道 模式 下 的 封装 


AH 协议 在 传输 模式 下 的 封装 如 图 8. 25 所 示 。 


| Pak | TCP 头 /数据 
1 1 
1 


TCP 头 /数据 
验证 1 
8.25 AH 协议 在 传输 模式 下 的 封装 


AH 协议 使 用 32 位 序列 号 ,结合 防 重 放 窗口 和 报 文 验证 来 防御 重 放 攻击 。 

在 传输 模式 下 ,AH 协议 验证 IP 报 文 的 数据 部 分 和 IP 包头 中 的 不 变 部 分 。 

在 隧道 模式 下 ,AH 协议 验证 全 部 的 内 部 IP 报 文 和 外 部 IP 包头 中 的 不 变 部 分 。 

(2) ESP 协议 。ESP 是 报 文安 全 封装 协议 ,可 将 用 户 数据 进行 加 密 后 封装 到 IP 包 中 ， 
以 保证 数据 的 私有 性 。 同 时 作为 可 选项 ,用 户 可 以 选择 使 用 带 密 钥 的 哈 希 算法 ,以 保证 报 文 
的 完整 性 和 真实 性 。ESP 的 隧道 模式 提供 了 对 报 文 路 径 信息 的 隐藏 功能 。 

在 ESP 协议 方式 下 ,可 以 通过 散 列 算法 获得 验证 数据 字段 ,可 选 的 算法 同样 是 MD5 和 
SHA1。 与 AH 协议 不 同 的 是 ,在 ESP 协议 中 还 可 以 选择 加 密 算法 ,一 般 常 见 的 是 DES, 
3DES 等 加 密 算法 。 加 密 算法 要 从 SA 中 获得 密 钥 ,对 参加 ESP 加 密 的 整个 数据 的 内 容 进 
行 加 密 运 算 ,得 到 一 段 新 的 “数据 ”。 完 成 之 后 ,ESP 将 在 新 的 “数据 ?前面 加 上 SPI 字段 、 序 
列 号 字段 ,在 数据 后 面 加 上 一 个 验证 字段 和 填充 字段 等 。 

ESP 协议 在 隧道 模式 下 的 封装 如 图 8. 26 所 示 。 


VPN 4 


地 co Wi 


网 络 安 会 鞭 术 与 实践 


TP GL. 数据 
1 1 1 
新 IP 包 头 | ESP 头 部 | 原 IP 包 头 数据 ESP 尾 部 | ESP 验 证 
加 密 
H 给 证 


8.26 ESP 协议 在 隧道 模式 下 的 封装 


ESP 协议 在 传输 模式 下 的 封装 如 图 8. 27 所 示 。 


L— —— sli f 
IP 包 头 数据 
I | 1 
IP 包 头 | ESP 头 部 数据 ESP 尾 部 | ESP 验 证 
| më 


上 验证 ——————— — —3À4 
8.27 ESP 协议 在 传输 模式 下 的 封装 


ESP 协议 使 用 32 位 序列 号 ,结合 防 重 放 窗 口 和 报 文 验证 来 防御 重 放 攻 击 。 

在 传输 模式 下 ,ESP 协议 对 IP 报 文 的 有 效 数据 进行 加 密 ( 可 附加 验证 ) 。 

在 隧道 模式 下 ,ESP 协议 对 整个 内 部 TP 报 文 进行 加 密 (可 附加 验证 )。 

G) IKE, IKE 是 因特网 密 钥 交换 协议 ,为 IPSec 提供 了 自动 协商 交换 密 钥 .建立 安全 
联盟 的 服务 ,能够 简化 IPSec 的 使 用 和 管理 ,大 大 简化 了 IPSec 的 配置 和 维护 工作 。IKE 不 
是 在 网 络 上 直接 传送 密 钥 的 ,而 是 通过 一 系列 数据 的 交换 ,最 终 计 算出 双方 共享 的 密 钥 ,并 
且 即 使 第 三 者 截获 了 双方 用 于 计算 密 钥 的 所 有 交换 数据 ,也 不 足以 计算 出 真正 的 密 钥 。 
IKE 具有 一 套 自 保护 机 制 ,可 以 在 不 安全 的 网 络 上 安全 地 分 发 密 钥 、 验 证 身份 .建立 IPSec 
安全 联盟 。 

IKE 协商 分 为 两 个 阶段 ,分 别称 为 阶段 一 和 阶段 二 。 

阶段 一 ,又 被 称 为 Main Mode, 在 网 络 上 建立 IKE SA ,为 其 他 协议 的 协商 (阶段 二 ) 提 
供 保护 和 快速 协商 。 通 过 协商 创建 一 个 通信 信道 ,并 对 该 信道 进行 认证 ,为 双方 进一步 的 
IKE 通信 提供 机 密 性 、 消 息 完整 性 及 消息 源 认 证 服务 ,是 主 模式 。 

阶段 二 ,又 被 称 为 Quick Mode, 可 在 IKE SA 的 保护 下 完成 IPSec 的 协商 。 


8.3.3 在 Cisco 路 由 器 上 实现 站 点 到 站 点 VPN 


Si 课业 任务 8-2 

在 课业 任务 3-1 中 ,Bob 与 Alice 之 间 采 用 PGP 实现 加 密 传送 文件 ,这 种 方法 不 适合 频 
繁 地 交换 文件 ,也 是 比较 烦琐 的 。 一 种 更 好 的 方法 是 ,可 以 在 Bob 所 在 的 公司 总 部 与 Alice 
所 在 的 公司 分 部 之 间 建 立 站 点 到 站 点 的 VPN ,他 们 把 自己 的 文件 放置 在 公司 总 部 的 FTP 
服务 器 上 ,如 此 一 来 ,就 可 以 通过 IPSec 的 ESP 协议 保证 Alice 与 Bob 之 间 在 互联 网 上 频繁 


传送 公司 机 密 文 件 时 的 安全 性 。 

课业 任务 8-2 所 设计 的 拓扑 如 图 8.28 所 示 。RouterA 为 公司 总 部 的 边界 路 由 器 ， 
RouterB 为 公司 分 部 的 边界 路 由 器 。 为 了 保证 Alice 与 Bob 之 间 传 送 数据 的 安全 ,可 以 通 
过 IPSec VPN 技术 在 RouterA 与 RouterB 之 间 建 立 一 条 VPN 隧道 ,使 Alice 与 Bob 之 间 
传送 所 有 的 数据 都 经 过 这 条 安全 隧道 。 


RouterA RouterB 


SS fo.1.1004 172.16.1.0/24 "0002 172.16.2.0/24 
Alice Bob 


8.28 企业 站 点 到 站 点 VPN 拓扑 


1. RouterA 的 配置 
CD 配置 默认 路 由 。 


RouterA(config) # ip route 0.0.0.0 0.0.0.0 172.16.1.2 
(2) 配置 IKE, 


RouterA(config) # crypto isakmp policy 1 

RouterA(config - isakmap) # hash md5 

RouterA(config - isakmap) # authentication pre- share 
RouterA(config) # crypto isakmp key 0 thxy. password address 10.0.0.2 


(3) 配置 IPSec。 


RouterA(config) # crypto ipsec transform - set thxyset ah 一 md5 - hmac esp - des 
RouterA(config) # access - list 101 permit ip 10.1.1.0 0.0.0.255 172.16.2.0 0.0.0.255 


(4) 配置 加 密 图 。 


RouterR(config) # crypto map thxymap 1 ipsec - isakmp 
RouterR(config - crypto ~ map) # set peer 10.0.0.2 
RouterR(config - crypto- map) # set transform - set thxyset 
RouterA(config- crypto - map) # match address 101 


(5) 把 加 密 图 应 用 到 出 口 。 


RouterR(config) # interface serial 0/0 
RouterA(config- if) # crypto map thxymap 


2. RouterB 的 配置 
(1) 配置 默认 路 由 。 


RouterA(config) # ip route 0.0.0.0 0.0.0.0 10.0.0.1 
(2) 配置 IKE。 


RouterA(config) # crypto isakmp policy 1 
RouterA(config- isakmap) # hash md5 
RouterA(config- isakmap) # authentication pre- share 
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RouterA(config) # crypto isakmp key 0 thxy. password address 172.16.1.1 
(3) 配置 IPSec。 


RouterA(config) # crypto ipsec transform- set thxyset ah- md5 - hmac esp - des 
RouterA(config) # access- list 101 permit ip 172.16.2.0 0.0.0.255 10.1.1.0 0.0.0.255 


(4) 配置 加 密 图 。 


RouterA(config) # crypto map thxymap 1 ipsec - isakmp 
RouterA(config- crypto ~ map) # set peer 172. 16.1.1 
RouterA(config- crypto - map) # set transform - set thxyset 
RouterA(config- crypto - map) # match address 101 


C5) 把 加 密 图 应 用 到 出 口 。 


RouterR(config) # interface serial 0/0 
RouterA(config- if) # crypto map thxymap 


3. 测试 
(D Alice 使 用 主机 ping 分 公司 Bob 的 主机 ,发 现 有 4 个 数据 包 能 正常 传输 。 


RA# ping 172.16.2.1 source 10.1.1.2 

Type escape sequence to abort. 

Sending 5, 100.byte ICMP Echos to 172.16.2.1, timeout is 2 seconds: 
Packet sent with a source address of 10.1.1.2 


Success rate is 80 percent (4/5), round.trip min/avg/max = 28/41/56 ms 
(2) 查看 建立 好 的 连接 ,发 现 有 4 个 数据 包 被 加 密 以 及 4 个 数据 包 被 解密 。 


RA# show crypto engine connections active 
Crypto Engine Connections 
ID Interface Type Algorithm Encrypt Decrypt IP. Address 


1 Sel/2 IPsec DES + SHA 0 4 172.16.1.1 
2 Se1/2 IPsec DES + SHA 4 0 172.16.1.1 
1001 Se1/2 IKE SHA + DES 0 0 172.16.1.1 


8.4 Linux 下 IPSec VPN 的 实现 


8.4.1 Linux 下 IPSec VPN 实现 的 机 制 


实现 IPSec 的 软件 有 很 多 ,RHEL5 自 带 的 Ipsec-tools 就 可 以 实现 , 它 是 一 个 开放 源码 
的 软件 ,具有 安全 性 与 稳定 性 。Ipsec-tools 有 两 个 工具 ,分 别 为 Setkey 与 Racoon。Setkey 
为 SAD 与 SPD 的 管理 工具 ,Racoon 则 负责 IKE 机 制 。 


8.4.2 以 Preshared Keys 为 验证 模式 下 的 传输 模式 VPN 


传输 模式 一 般 是 对 两 台 主 机 之 间 传 送 的 数据 来 进行 加 密 。 以 图 8. 29 为 例 ,拓扑 图 所 描 
述 的 是 在 RHEL6 下 如 何 实现 以 Preshared Keys 为 验证 模式 下 的 传输 模式 VPN 配置 。 


Web Server Client 
IP: 192.168.255.2 IP: 192.168.255.3 


3 


8.29 以 Preshared Keys 为 验证 模式 下 的 传输 模式 VPN 拓扑 


图 8. 29 所 示 的 拓扑 图 中 有 一 台 主 机 作为 Web Server( 网 站 服务 器 ) ,一 台 主 机 作为 
Client( 客 户 机 ) ,两 台 主 机 上 都 安装 了 RHEL5, 现 通过 Ipsec-tools 组 件 来 实现 以 Preshared 
Keys 为 验证 模式 下 的 传输 模式 VPN 配置 ,配置 步骤 如 下 。 

CD 确保 Web Server 与 Client 两 台 主 机 的 连通 性 。 

(2) 确保 Web Server 与 Client 两 台 主 机 的 防火 墙 已 关闭 。 

(3) 在 Client 主机 上 配置 IKE, 修 改 其 配置 文件 /etc/racoon/racoon. conf, 


# Racoon IKE daemon configuration file. 
# See 'man racoon. conf' for a description of the format and entries. 


path include "/etc/racoon"; 
path pre shared key "/etc/racoon/psk. txt"; 
path certificate "/etc/racoon/certs"; 


remote 192.168.255.2 
{ 
exchange_mode main; 
proposal 
{ 
authentication method pre_shared key; 
dh group modp1024; 
hash algorithm shal; 
encryption algorithm 3des; 
lifetime time 1 hour; 


) 
} 


sainfo anonymous 

{ 
lifetime time 1 hour ; 
encryption algorithm 3des; 
authentication algorithm hmac shal ; 
compression algorithm deflate ; 


} 
(4) 在 Client 主机 上 设置 预 共 享 密 钥 ,修改 配置 文件 /etc/racoon/psk. txt. 
# file for pre. shared keys used for IKE authentication 


# format is:  'identifier' 'key' 
# For example: 
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10.1.1.1 flibbertigibbet 

www. example. com 12345 

foo@ www. example.com  micropachycephalosaurus 
192.168.255.2 123456 


(5) 在 Client 主机 上 设置 SPD, 创 建 其 配置 文件 为 /etc/racoon/setkey. conf, 


# 
# 
# 
# 


flush; 

spdflush; 

spdadd 192. 168. 255. 3 192.168.255.2 any — P out ipsec esp/transport//require ah/transport//require; 
spdadd 192. 168. 255. 2 192.168.255.3 any —P in ipsec esp/transport//require ah/transport//require; 


(6) 配置 Web Server 的 IPSec, 

在 Web Server 配置 IPSec, 需 要 修改 /etc/racoon/ 目 录 下 的 3 个 文件 : racoon. conf, 
psk. txt、setkey. conf。 这 3 个 配置 文件 内 容 如 下 。 

O IKE 的 配置 文件 为 /etc/racoon/racoon. conf, 


# Racoon IKE daemon configuration file. 
# See 'man racoon. conf' for a description of the format and entries. 


path include "/etc/racoon"; 
path pre shared key "/etc/racoon/psk. txt" ; 
path certificate "/etc/racoon/certs"; 


remote 192.168.255.3 
{ 
exchange_mode main; 
proposal 
{ 
authentication method pre shared key; 
dh group modp1024; 
hash algorithm shal; 
encryption algorithm 3des; 
lifetime time 1 hour; 


) 


sainfo anonymous 

( 
lifetime time 1 hour ; 
encryption algorithm 3des; 
authentication algorithm hmac shal ; 
compression algorithm deflate ; 


) 
© 共享 密 钥 的 配置 文件 为 /etc/racoon/psk. txt。 


# file for pre. shared keys used for IKE authentication 
# format is:  'identifier' 'key' 
# For example: 


# 


# 10.1.1.1 flibbertigibbet 

d www. example. com 12345 

d foo@wwv. example.com micropachycephalosaurus 
192.168.255.3 123456 


@ SPD 的 配置 文件 为 /etc/racoon/setkey. conf, 


flush; 
spdflush; 

Spdadd 192.168.255.3 192.168.255.2 any — P in ipsec esp/transport//require ah/transport//require; 
spdadd 192. 168. 255. 2 192.168.255.3 any — P out ipsec esp/transport/ /require ah/transport//require; 


(7) 在 Web Server 上 启动 IKE, 
[root(2localhost ~] # racoon - f /etc/racoon/racoon. conf 
(8) 在 Web Server 上 启动 SPD, 
[rootQ)localhost ~] # setkey - f /etc/racoon/setkey.conf 


(9) 验证 结果 。 

启动 Wireshark 软件 ,在 客户 机 上 ping Web Server, 提 取 数 据 包 。 如 图 8. 30 所 示 ， 
IPSec 经 过 了 两 个 阶段 后 ,数据 经 IPSec 的 ESP 协议 实现 了 加 密 。 两 个 阶段 分 别 为 Main 
Mode 与 Quick Mode, 


Protocol Info 


ESP ESP (SPI-0x0c267321) 


ESP ESP (SPI-0x016743b8) 
ESP ESP (SPI-0x0c267321 


图 8.30 IKE 的 两 个 阶段 
捕获 的 ICMP 协议 已 经 被 ESP 协议 加 密 了 ,如 图 8. 31 所 示 。 
(10) 在 Web Server 上 查看 SAD。 

[root(2localhost ~]# setkey -D 
(11) 在 Web Server 上 查看 SPD。 
[root(2localhost ~]# setkey -D -P 


(12) 相关 IPSec VPN 命令 。 
(D 清除 SPD 内 容 。 


[root(2localhost ~]# setkey -F -P 
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[c ») 
b Ethernet II, Src: Vmware de:82:29 (00:0c:29:de:82:29), Dst: Vmware 2f:c1:48 (00:0c:29:2f:c? 
P Internet Protocol, Src: 192.168.255.3 (192.168.255.3), Dst: 192.168.255.2 (192.168.255.2) 
YV Authentication Header 

Next Header: ESP (0x32) 

Length: 24 

AH SPI: 0x01d8782c 

AH Sequence: 1 

AH ICV: 63E4D5F1E532913BB36EE362 
YV Encapsulating Security Payload 

ESP SPI: 0x0c267321 

ESP Sequence: 1 


图 8.31 被 ESP 加密 的 ICMP 协议 
© 清除 SAD 内 容 。 
[root(2localhost ~]# setkey -D -F 
8.4.3 以 Preshared Keys 为 验证 模式 下 的 隧道 模式 VPN 


隧道 模式 一 般 是 对 两 个 LAN 之 间 传 送 的 数据 来 进行 加 密 ,以 图 8. 32 为 例 ,拓扑 图 描 
述 的 是 在 RHEL5 下 如 何 实 现 以 Preshared Keys 为 验证 模式 下 的 隧道 模式 VPN 配置 。 
10.0.0.0/8 


VPN 主 机 A VPN 主 机 B 
Eth0: 10.0.0.1 Eth0: 10.0.0.2 


E 
Eth1: 192.168.1.254/24 


Eth1: 192.168.2.254/24 


3 * 


ClientA ClientB. 
IP: 192.168.1.1 IP: 192.168.2.1 


图 8.32 以 Preshared Keys 为 验证 模式 下 的 隧道 模式 VPN 拓扑 


在 图 8. 32 所 示 的 拓扑 图 中 有 两 台 VPN 网 关 , 一 台 VPN 主机 A, 一 台 VPN 主机 B. 
VPN 主机 A 连接 着 LAN192. 168. 1. 0/24,VPN 主机 B 连接 着 LAN192. 168. 2. 0/24, dfi 
扑 图 中 用 10. 0.0.0/8 模拟 互联 网 络 ,两 个 LAN 通过 10. 0. 0.0/8 这 个 互联 网 络 时 ,使 用 
IPSec 来 进行 保护 ,VPN 主机 A 与 VPN 主机 B 上 都 安装 的 是 RHEL6 操作 系统 。 现 通过 
Ipsec-tools 组 件 来 实现 以 Preshared Keys 为 验证 模式 下 的 隧道 模式 VPN 配置 ,配置 步 又 
如 下 。 

(1) 确保 ClientA 与 ClientB 两 台 主 机 的 连通 性 。 

(2) 确保 VPN 主机 A 与 VPN 主机 B 两 台 主 机 的 防火 墙 已 关闭 。 

(3) 在 VPN 主机 A 上 配置 IKE, 修 改 其 配置 文件 /etc/racoon/racoon. conf ,内 容 如 下 。 


# Racoon IKE daemon configuration file. 
# See 'man racoon. conf' for a description of the format and entries. 


path include "/etc/racoon" ; 
path pre shared key "/etc/racoon/psk. txt" ; 
path certificate "/etc/racoon/certs" ; 


remote 10.0.0.2 
{ 
exchange_mode main; 
proposal 
{ 
authentication method pre shared key; 
dh group modp1024; 
hash algorithm shal; 
encryption algorithm 3des; 
lifetime time 1 hour; 


) 


sainfo anonymous 

{ 
lifetime time 1 hour ; 
encryption algorithm 3des; 
authentication algorithm hmac shal ; 
compression algorithm deflate ; 


) 


(4) 设置 预 共享 密 钥 ,修改 配置 文件 /etc/racoon/psk. txt. 


# file for pre. shared keys used for IKE authentication 
# format is:  'identifier' 'key" 
# For example: 


10.1.1.1 flibbertigibbet 
www. example. com 12345 


d* dt dE o3 


foo@www. example.com  micropachycephalosaurus 
10.0.0.2  ilikethxy 


(5) 在 VPN 主机 A 上 设置 SPD, 配 置 文件 为 /etc/racoon/setkey. conf, 


flush; 
spdflush; 


spdadd192. 168. 1. 0/24 192. 168. 2. 0/24 any .P out ipsec esp/tunnel/10. 0.0.1- 10.0.0.2/require; 
spdadd 192. 168. 2. 0/24 192. 168. 1. 0/24 any .P in ipsec esp/tunnel/10. 0.0.2- 10. 0. 0. 1/require; 


(6) Æ VPN 主机 B 上 配置 IKE、 预 共享 密 钥 与 SPD, 具 体 配置 如 下 。 


CD 配置 IKE, 修 改 配置 文件 /etc/racoon/racoon. conf, 


# Racoon IKE daemon configuration file. 


# See 'man racoon. conf' for a description of the format and entries. 


path include "/etc/racoon" ; 
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path pre shared key "/etc/racoon/psk. txt"; 
path certificate "/etc/racoon/certs"; 


remote 10.0.0.1 
{ 
exchange_mode main; 
proposal 
{ 
authentication method pre shared key; 
dh group modp1024; 
hash algorithm shal; 
encryption algorithm 3des; 
lifetime time 1 hour; 


} 


sainfo anonymous 
lifetime time 1 hour ; 
encryption algorithm 3des; 
authentication algorithm hmac shal ; 
compression algorithm deflate ; 


) 
O 配置 预 共 享 密 钥 ,修改 配置 文件 /etc/racoon/psk. txt. 


* file for pre. shared keys used for IKE authentication 
* format is:  'identifier' 'key" 
* For example: 


10.1.1.1 flibbertigibbet 

www. example. com 12345 

foo@www. example.com  micropachycephalosaurus 
10.0.0.1  ilikethxy 


© 配置 SPD, 配 置 文件 为 /etc/racoon/setkey. conf, 


Ak dt dk 3E 


flush; 

spdflush; 

spdadd 192. 168. 2. 0/24 192. 168. 1. 0/24 any -了 out ipsec esp/tunnel/10.0.0.2 — 10. 0. 0. 1/require; 
spdadd 192. 168. 1. 0/24 192.168.2.0/24 any - P in ipsec esp/tunnel/10. 0.0.1 — 10. 0. 0. 2/require; 


(7) Æ VPN 主机 A 5 VPN 主机 B 上 启动 IKE, 
[root(2localhost ~] # racoon - f /etc/racoon/racoon. conf 
(8) Æ VPN 主机 A 5i VPN 主机 B 上 启动 SPD。 
[root@ localhost ~] # setkey —- f /etc/racoon/setkey. conf 


(9) 验证 结果 。 
启动 Wireshark 软件 ,在 ClientA 上 ping ClientB ,捕获 VPN 主机 A 上 的 10. 0. 0.1 接 


口 的 数据 包 。 如 图 8.33 所 示 ,IPSec 经 过 了 两 个 阶段 后 ,数据 经 IPSec 的 ESP 协议 实现 了 
加 密 。 两 个 阶段 分 别 为 Main Mode 5j Quick Mode, 


No.. Time Source Destination Protocol Info 


图 8.33 IKE 在 隧道 模式 的 两 个 阶段 


捕获 的 ICMP 协议 已 经 被 ESP 协议 加 密 了 ,如 图 8. 34 所 示 。 


No.. Time Source Destination Protocol Info 
m A 1 FIT) ES SP a) 
TS45 1029588 10002 10001 ESP ESP (SPI-0x020a7562) 
ID 1580704424 10001 1002 ESP ESP (SPI-0xOf49ed7a) f 
TSA 150.705051 10002 D001 ESP ESP (SPI=0x020a7562) 
1487 151240048 1000.1 10002 ESP ESP (SPI=0x0f49ed7a) 
1491 151242946 10002 D001 ESP ESP (SPI-0x020a7562) 
G m E TI 


— 
b Frame 17339 (126 bytes on wire, 126 bytes captured) 
P Ethernet II, Src: Vmware 4e:06:5b (00:0c:29:4e:06:5b), Dst: Vmwa 
Intem col, Src: 10.0.0.1 (10.0.0 
"T Encapsulating Security Payload 
ESP SPI: 0x0f49ed7a 
ESP Sequence: 1 


5a:3a:3f (00:0c:2! 


8.34 被 ESP 加 密 的 ICMP 协议 


(10) 在 VPN 主机 B 上 查看 SAD。 
[root(2localhost ~]# setkey -D 

(11) 在 VPN 主机 B 上 查看 SPD. 
[root(2localhost ~]# setkey -D -P 


(12) 停止 IPSec VPN 的 相关 命令 。 
(D 清除 SPD 内 容 。 


[root@1localhost ~]# setkey -F -P 
© 清除 SAD 内 容 。 
[root(2localhost ~]# setkey -D -F 
© 停止 IKE。 


[root@ localhost ~] #killall racoon 
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(23) 停止 之 前 配置 的 IPSec VPN ,再 在 VPN 主机 B. 上 修改 SPD. dt! ESP 协议 改 成 
AH 协议。 请 读者 根据 前 面 知识 ,分 析 一 下 ESP 与 AH 协议 不 同 。 
(D VPN 主机 A ff SPD 设置 如 下 。 


flush; 

spdflush; 

spdadd 192.168. 1. 0/24 192. 168. 2. 0/24 any -了 out ipsec ah/tunnel/10.0.0.1 — 10. 0. 0. 2/require; 
spdadd 192.168. 2. 0/24 192. 168. 1. 0/24 any — P in ipsec ah/tunnel/10.0.0.2 — 10.0. 0. 1/require; 


@ VPN 主机 B 的 SPD 设置 如 下 。 


flush; 

spdflush; 

spdadd 192. 168. 2. 0/24 192. 168. 1. 0/24 any -了 out ipsec ah/tunnel/10.0.0.2 — 10. 0. 0. 1/require; 
spdadd 192. 168. 1. 0/24 192.168.2.0/24 any - P in ipsec ah/tunnel/10. 0.0.1 — 10.0. 0. 2/require; 


重启 IKE 与 SPD ,捕获 的 数据 包 如 图 8. 35 Bron 。 


Destination Protocol Info 
121821 Echo (ping) 


Echo (ping) 


1063 4.621 1E8111 121821 ICMP Echo (ping) request 
1067 4GP 1.18.21 2218.11 ICMP Echo (ping) reply 
534243 120.163.11 1015821 ICMP Echo (ping) request 
1205 5316161 — 10.5821 1058.11 ICMP Echo (ping) reply 


> Frame 1055 (118 bytes on wire, 118 bytes captured) 

Ethernet II, Src: Vmware 4e:06:5b (00:0c:29:4e:06:5b), Dst: Vmware 5a:3a:3f (00:0c:29:5a:3: 
Internet Protocol, Src: 10.0.0.1 (10.0.0.1), Dst: 10.0.0.2 (10.0.0.2) 

Authentication Header 

Internet Protocol, Src: 192.168.1.1 (192.168.1.1), Dst: 192.168.2.1 (192.168.2.1) 
Internet Control Message Protocol 


vvvvv 


8.35 被 AH 重新 封装 的 ICMP 协议 


由 图 8. 35 得 知 ,隧道 模式 是 把 以 前 的 IP 包 封 装 在 了 新 的 IP 包头 中 。 
练 c) m 


1. 选择 题 
(1) 以 下 关于 VPN 说 法 正确 的 是 ( v 
A. VPN 指 的 是 用 户 自 己 租 用 线路 ,和 公共 网 络 物理 上 完全 隔离 的 、 安 全 的 线路 
B. VPN 指 的 是 用 户 通 过 公用 网 络 建立 的 临时 的 、 安 全 的 连接 
C. VPN 不 能 进行 信息 认证 和 身份 认证 
D. VPN 只 能 提供 身份 认证 ,不 能 提供 加 密 数据 的 功能 
(2) IPSsec 不 可 以 做 到 ( Ws 
A. 认证 B. 完整 性 检查 C. 加 密 D. 签发 证 书 
(3) IPSec 是 ( )VPN 协议 标准 。 
A. 第 一 层 B. 第 二 层 C. 第 三 层 D. 第 四 层 


SA 等 。 


(4) IPSec 在 任何 通信 开始 之 前 ,要 在 两 个 VPN 结 点 或 网 关 之 间 协 商 建 立 ( Js 
A. IP 地 址 B. 协议 类 型 C. 端口 D. 安全 联盟 

6G» € ) 是 IPSec 规定 的 一 种 用 来 自动 管理 SA 的 协议 ,包括 建立 .协商 、 修 改 和 删除 
A. IKE B. AH C. ESP D. SSL 

2. 简 答题 


(1) 什么 是 VPN? 

(2) VPN 有 哪 两 大 类 型 ? 分 别 适 应 哪些 场合 ? 
(3) 支持 VPN 的 主要 协议 有 哪些 ? 

(4) IPSec 协议 包含 的 各 个 协议 之 间 有 什么 关系 ? 
(5) IKE 的 作用 是 什么 ? SA 的 作用 是 什么 ? 

3. 综合 应 用 题 


WYL 公司 的 网 络 拓扑 结构 如 图 8. 36 所 示 , 要 求 配置 IPSec VPN. fii 10. 10. 20. 1/24 
网 段 能 够 连通 10. 10. 10. 2/24 网 段 ,10. 10. 30. 1/24 网 段 不 能 连通 10. 10. 10. 2/24 网 段 。 
根据 要 求 ,回答 问题 1 一 问题 3 。 


E1: 192.168.1.2/24 L- E0: 192.168.2.1/24 
DRIN 
Pd iE ^ 


` 
Pd ` 
F ` 
` 
/ 


E1: 10.10.20.2/24 
网 段 : 10.10.20.1/24 


网 段 : 10.10.30.1/24 


8.36 WYL 公司 的 网 络 拓扑 结构 


【问题 | 

根据 网 络 拓扑 图 的 要 求 ,解释 并 完成 路 由 器 RI 上 的 部 分 配置 。 
Rl(config)# crypto isakmp enable (启用 IKE) 

Rl(config)# crypto isakmp (D 20( 配 置 IKE 策略 20) 
RlCconfig-isakmp) # authentication pre-share (2) 
Rl(config-isakmp) # exit 


M 
E0: 192.168.1.1/24 E1: 10.10.10.1/24 
E0: 192.168.2.2/24 
E2: 10.10.30.2/24 2811 网 段 : 10.10.10.2/24 
R3 


Rl(config) # crypto isakmp key 378 address 192. 168. 2.2 (配置 预 共 享 密 钥 为 378) 


Rl(config)# access-list 101 permit ip (3) 0.0. 0. 255 
.0.255( 设 置 ACL) 

【问题 2] 

根据 网 络 拓 扑 图 的 要 求 , 完 成 路 由 器 R2 上 的 静态 路 由 配置 。 

R2(config)# ip route (5) 255. 255. 255. 0 192. 168. 1. 1 

R2(config) & ip route 10. 10. 30. 0 255. 255. 255.0 (6) 


R2(config) # ip route 10. 10. 10. 0 255. 255. 255. 0 192. 168. 2. 2 


(4) 
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【问题 3】 
根据 网 络 拓 扑 图 的 要 求 和 R1 的 配置 ,解释 并 完成 路 由 器 R3 的 部 分 配置 。 
R3(config)# crypto isakmp key (7) address (8) 


R3 (config) # crypto transform-set testvpn ah-md5-hmac esp-des esp-md5-hmac 
(9) 

R3(cfg-crypto-trans) # exit 

R3(Cconfig) # crypto map test 20 ipsec-isakmp 

R3(Cconfig-crypto-map) # set peer 192. 168. 1. 1 

R3(Cconfig-crypto-map) # set transform-set (10) 


第 9 章 入 侵 检测 技术 


随 着 计算 机 网 络 知识 的 普及 ,攻击 者 越 来 越 多 ,攻击 工具 与 手法 日 趋 复 杂 多 样 。 单 纯 的 
防火 墙 策略 已 经 无 法 满足 对 安全 高 度 敏 感 的 部 门 的 需要 ,网 络 的 防护 必须 采用 一 种 纵深 的 、 
多 样 的 手段 。 如 果 把 防火 墙 比 作 大 门 门 锁 ,入 侵 检 测 就 是 网 络 中 不 间断 工作 的 摄像 机 。 入 
侵 检测 通过 旁 路 监听 的 方式 不 间断 地 收取 网 络 数据 ,对 网 络 的 运行 和 性 能 无 任何 影响 ,并 可 
以 判断 其 中 是 否 含 有 攻击 的 企图 ,并 通过 各 种 手段 向 管理 员 报 警 。 入 侵 检测 不 但 可 以 发 现 
从 外 部 的 攻击 ,也 可 以 发 现 内 部 的 恶意 行为 。 所 以 说 ,入 侵 检测 是 网 络 安 全 的 第 二 道 闸门 ， 
是 防火 墙 的 必要 补充 , 它 构 成 完整 的 网 络 安全 解决 方案 。 

» 学 习 目 标 : 

。 熟悉 IDS 的 基本 概念 ,术语 。 

。 掌握 IDS 的 入 侵 原 理 、 类 型 及 技术 。 

。 了解 IDS 产品 的 实施 。 

。 掌握 数据 完整 性 监控 工具 Tripwire 的 原理 及 使 用 方法 。 

。 掌握 OSSEC 的 原理 及 使 用 方法 。 

* 了解 IDS 技术 的 发 展 方向 和 IPS,NGAF 技术 。 

wr 课业 任务 : 

本 章 通过 两 个 实际 课业 任务 ,由 浅 入 深 、 循 序 渐进 地 介绍 人 侵 检 测 技术 的 基本 知识 与 相 
关 原 理 ,以 及 入 侵 检测 技术 在 现实 中 的 应 用 。 

3 课业 任务 9-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , WYL 公司 服务 器 安装 的 是 UNIX 操作 系统 。 当 
服务 器 遭 到 黑客 攻击 时 ,可 能 会 对 系统 文件 等 一 些 重 要 文件 进行 修改 。 为 了 监测 文件 是 否 
被 修改 过 以 及 哪些 文件 被 修改 过 ,Bob 使 用 Tripwire 软件 建立 数据 完整 性 监测 系统 , 当 服 
务 器 被 黑客 攻击 后 能 够 有 的 放 矢 地 找 出 解决 方案 。 

能 力 观测 点 

完整 性 分 析 原 理 ; Tripwire 软件 的 使 用 ; 构建 数据 完整 性 监测 系统 。 

A 课业 任务 9-2 

Bob 是 WYL 公司 的 安全 运 维 工 程 师 , WYL 公司 的 网 络 拓扑 图 如 9. 10 所 示 。Bob 为 
了 检测 Web 服务 器 的 入 侵 行为 ,选用 开源 的 HIDS 产品 OSSEC 软件 ,并 采用 C/S 架构 的 
部 署 方法 ,OSSEC 服务 器 安装 在 Bob 的 计算 机 上 ,OSSEC 客户 端 运行 在 Web 服务 器 上 。 

能 力 观测 点 

HIDS 基本 原理 ; 使 用 OSSEC 软件 检测 服务 器 上 的 入 侵 行为 。 


网 络 安 会 鞭 术 与 实践 


9.1 入 侵 检 测 系 统 概述 


9.1.1 入 侵 检 测 系统 的 定义 


入 侵 检 测 系统 (IDS) 就 是 依照 一 定 的 安全 策略 ,对 网 络 ,系统 的 运行 状况 进行 监视 , 尽 
可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 者 攻击 结果 ,以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 
可 用 性 。 它 与 其 他 网 络 安全 设备 的 不 同 之 处 在 于 ,IDS 是 一 种 积极 主动 的 安全 防护 技术 。 
做 一 个 形象 的 比喻 ,假如 防火 墙 是 一 幢 大 楼 的 门 锁 , 那 么 IDS 就 是 这 幢 大 楼 里 的 监视 系统 。 
一 旦 小 偷 仆 窗 进入 大 楼 ,或 内 部 人 员 有 越界 行为 ,只 有 实时 监视 系统 才能 发 现 情况 并 发 出 
警告 。 


9.1.2 入 侵 检 测 系统 的 主要 功能 


入 侵 检测 技术 是 一 种 主动 保护 自己 免 受 攻击 的 一 种 网 络 安全 技术 。 作 为 防火 墙 的 合理 
补充 ,入 侵 检测 技术 能 够 帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 的 安全 管理 能 力 (包括 
安全 审计 ,监视 ,攻击 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检测 系统 的 主 
要 功能 如 下 。 

1. 识别 黑客 常用 的 人 侵 与 攻击 手段 

入 侵 检测 技术 通过 分 析 各 种 攻击 的 特征 ,可 以 全 面 快速 地 识别 探测 攻击 、 拒 绝 服务 攻 
击 、 缓 冲 区 溢出 攻击 、 电 子 邮 件 攻 击 、 浏 览 器 攻击 等 各 种 常用 的 攻击 手段 ,并 进行 相应 的 防 
范 。 一 般 来 说 ,黑客 在 进行 人 侵 的 第 一 步 , 即 探测 、 收 集 网 络 及 系统 信息 时 ,就 会 被 IDS 捕 
获 , 向 管理 员 发 出 警告 。 

2. 监控 网 络 异常 通信 

IDS 系统 会 对 网 络 中 不 正常 的 通信 连接 做 出 反应 ,保证 网 络 通信 的 合法 性 。 任 何不 符 
合 网 络 安全 策略 的 网 络 数据 都 会 被 IDS 侦 测 到 并 警告 。 

3. 鉴别 对 系统 漏洞 及 后 门 的 利用 

IDS 系统 一 般 带 有 系统 漏洞 及 后 门 的 详细 信息 ,通过 对 网 络 数据 包 连 接 的 方式 .连接 端 
口 及 连接 中 特定 的 内 容 等 特征 分 析 , 可 以 有 效 地 发 现 网 络 通信 中 针对 系统 漏洞 进行 的 非法 
行为 。 

4. 完善 网 络 安全 管理 

IDS 通过 对 攻击 或 人 侵 的 检测 及 反应 ,可 以 有 效 地 发 现 和 防止 大 部 分 的 网 络 犯罪 行为 。 
使 用 IDS 系统 的 监测 ,统计 分 析 、 报 表 功 能 ,可 以 进一步 完善 网 络 管理 。 


9.1.3 入 侵 检 测 系统 的 组 成 


IETF(Internet 工程 任务 组 ) 将 一 个 人 侵 检测 系统 分 为 4 个 组 件 : 事件 产生 器 (Event 
Generators) , Sf {F 4) Wr g (Event. Analyzers)、 响 应 单元 (Response Units) , 事件 数据 库 
(Event Databases) 。 和 人 侵 检测 系统 的 组 成 如 图 9. 1 所 示 。 

事件 是 IDS 中 所 分 析 的 数据 的 统称 , 它 可 以 是 从 系统 日 志 、 应 用 程序 日 志 中 所 产生 的 
信息 ,也 可 以 是 在 网 络 中 抓 到 的 数据 包 。 


事件 产生 器 事件 分 析 器 
E 


| 


D L——- 


A 


R 响应 E 


事件 数据 库 向 应 单元 
9.1 入侵 检测 系统 的 组 成 


事件 产生 器 的 目的 是 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事件 , 事 
件 分 析 器 分 析 得 到 的 数据 ,并 产生 分 析 结 果 。 

响应 单元 则 是 对 分 析 结 果 作 出 反应 的 功能 单元 , 它 可 以 作出 切断 连接 ,改变 文件 属性 等 
强烈 反应 ,也 可 以 只 是 简单 地 报警 。 

事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数 据 的 地 方 的 统称 , 它 可 以 是 复杂 的 数据 库 , 也 
可 以 是 简单 的 文本 文件 。 


9.2. 入 侵 检测 系统 的 类 型 及 技术 


9.2.1 入 侵 检 测 系统 的 类 型 


根据 检测 对 象 的 不 同 ,入 侵 检测 系统 可 分 为 基于 主机 的 入 侵 检测 和 基于 网 络 的 入 侵 
检测 。 

1. 基于 主机 的 人 侵 检 测 C(HIDS) 

基于 主机 的 入 侵 检测 系统 就 是 以 系统 日 志 、 应 用 程序 日 志 等 作为 数据 源 ,当然 也 可 以 通 
过 其 他 手段 (如 监督 系统 调用 ) 从 所 在 的 主机 收集 信息 ,以 进行 分 析 。 基 于 主机 的 入 侵 检测 
系统 保护 的 一 般 是 所 在 的 系统 。 这 种 系统 经 常 运 行 在 被 监测 的 系统 之 上 ,用 以 监测 系统 上 
正在 运行 的 进程 是 否 合法 。 如 图 9. 2 所 示 , 基 于 主机 的 入 侵 检 测 系统 用 于 保护 关键 应 用 的 
服务 器 ,实时 监视 可 疑 的 连接 、 系 统 日 志 、 非 法 访问 的 奖 入 等 ,并 且 提 供 对 典型 应 用 的 监视 ， 
如 Web 服务 器 应 用 。 基 于 主机 的 入 侵 检 测 通常 采用 查看 针对 可 疑 行为 的 审计 记录 来 执行 ， 
它 能 够 比较 新 的 记录 条 目 与 攻击 特征 ,并 检查 不 应 该 改变 的 系统 文件 的 校 验 和 分 析 系 统 是 
和 否 被 侵入 或 者 被 攻击 。 

O 攻击 者 尝试 攻击 企业 数据 中 心 
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图 9.2 基于 主机 的 入侵 检测 示意 图 
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OSSEC HIDS 是 一 个 基于 主机 的 开源 人 侵 检测 系统 , 它 可 以 执行 日 志 分 析 、 完 整 性 检 
ft, Windows 注册 表 监 视 、.Rootkit 检测 、 实 时 警告 及 动态 的 适时 响应 。 除 了 具有 IDS 的 功 
能 之 外 , 它 通常 还 可 以 用 做 SEM/SIM 解决 方案 。 因 为 其 具有 强大 的 日 志 分 析 引 擎 ,互联 网 
供应 商 .数据 中 心 都 乐意 运行 OSSEC HIDS, 以 监视 和 分 析 其 防火 墙 \IDS、Web 服务 器 和 身 
份 验证 日 志 。 

2. 基于 网 络 的 人 侵 检 测 (NIDS) 

基于 网 络 人 侵 检 测 系统 的 数据 源 是 网 络 上 的 数据 包 。 在 这 种 类 型 的 入 侵 检 测 系 统 中 ， 
可 以 将 一 台 计 算 机 的 网 卡 设置 为 混杂 模式 ,对 所 有 本 网 段 内 的 数据 包 进行 信息 收集 ,并 做 出 
判断 。 一 般 基于 网 络 的 入侵 检测 系统 担负 着 保护 整个 网 段 的 任务 。 如 图 9. 3 所 示 , 基 于 网 
络 的 入 侵 检 测 系 统一 般 被 放置 在 比较 重要 的 网 段 内 ,部 分 也 可 以 利用 交换 机 的 端口 映射 功 
能 来 监视 特定 端口 的 网 络 入侵 行为 。 一 旦 攻击 被 检测 到 ,响应 模块 按照 配置 对 攻击 做 出 反 
应 。 通 常 这 些 反应 包括 发 送 电 子 邮 件 、 寻 呼 、 记 录 日 志 、 切 断 网 络 连 接 等 。 


四 攻击 者 尝试 攻击 企业 数据 中 心 
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入 侵 检测 系统 管理 让 让 


T. Paw 
图 9.3 基于 网 络 的 人 侵 检测 示意 图 


Snort 是 一 款 开 源 网 络 人 侵 检测 系统 , 它 有 3 种 工作 模式 : 嗅 探 器 模式 、 数 据 包 记录 器 
模式 、 网 络 人 侵 检测 模式 。 嗅 探 器 模式 仅仅 是 从 网 络 上 读 取 数据 包 并 连续 不 断 地 显示 在 终 
3m bs 数据 包 记录 器 模式 把 数据 包 记 录 到 硬盘 ; 网 络 人 侵 检 测 模式 是 最 复杂 的 ,而 且 是 可 
配置 的 。 它 采用 灵活 的 基于 规则 的 请 言 来 描述 通信 ,将 签名 ,协议 和 不 正常 行为 的 检测 方法 
结合 起 来 。 其 更 新 速度 极 快 ,成 为 全 球 部 署 最 为 广泛 的 入 侵 检测 技术 ,并 成 为 防御 技术 的 标 
准 。 通 过 协议 分 析 内容 查 找 和 各 种 各 样 的 预 处 理 程序 ,Snort 可 以 检测 成 千 上 万 的 蠕虫 、 
漏洞 利用 企图 .端口 扫描 和 各 种 可 疑 行为 。 

HIDS 和 NIDS 两 种 入 侵 检测 系统 都 具有 自己 的 优点 和 不 足 ,可 互相 补充 。 基 于 主机 
的 入 侵 检测 系统 可 以 精确 地 判断 入 侵 事 件 , 可 对 入 侵 事 件 立 即 进行 反应 ,还 可 针对 不 同 操作 
系统 的 特点 判断 应 用 层 的 入 侵 事 件 ; 其 缺点 是 会 占用 主机 宝贵 的 资源 。 基 于 网 络 的 入 侵 检 
测 系统 只 能 监视 经 过 本 网 段 的 活动 ,并 且 精 确 度 较 差 , 在 交换 网 络 环境 中 难于 配置 , 防 人 侵 
欺骗 的 能 力也 比较 差 ; 但 是 它 可 以 提供 实时 网 络 监视 ,并 且 监 视力 度 更 细致 。 

3. 混合 型 人 侵 检 测 

混合 型 人 侵 检测 是 基于 主机 的 入 侵 检 测 和 基于 网 络 的 入 侵 检 测 的 结合 , 它 是 前 两 种 
方案 的 互补 ,还 提供 了 入 侵 检 测 的 集中 管理 。 采 用 这 种 技术 能 实现 对 入 侵 行 为 的 全 方位 
检测 。 


9.2.2. 入 侵 检 测 系 统 的 技术 


对 各 种 事件 进行 分 析 , 从 中 发 现 违反 安全 策略 的 行为 是 入 侵 检测 系统 的 核心 功能 。 从 
技术 上 ,入 侵 检 测 分 为 两 类 : 一 类 基于 误 用 检测 (Anomal Detection) , 另 一 类 基于 异常 检测 


(Misuse Detection) 。 


1. 基于 误 用 的 检测 技术 "m 
对 于 基于 误 用 的 检测 技术 来 说 ,首先 要 定义 违 C3 AN 
背 安 全 策略 事件 的 特征 ,然后 判别 这 类 特征 是 否 在 过 "dE e 
所 收集 到 的 数据 中 ,如 图 9.4 所 示 。 如 果 检 测 到 该 检测 到 
行为 在 入 侵 特征 库 中 ,说 明 是 入 侵 行为 ,此 方法 非 的 事件 


常 类 似 于 杀毒 软件 。 基 于 误 用 的 检测 技术 的 核心 

是 维护 一 个 特征 库 。 如 图 9.5 所 示 为 UTM 防火 

墙 FortiGate 的 入侵 特征 库 。 基 于 误 用 的 检测 技术 对 于 已 知 的 攻击 ,可 以 详细 、 准 确 地 报告 
出 攻击 类 型 ,但 是 对 未 知 攻击 却 效果 有 限 ,而 且 特 征 库 必 须 不 断 更 新 。 
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图 9.4 基于 误 用 的 检测 示意 图 
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9.5 FortiGate 防火 墙 人 侵 特 征 库 


2. 基于 异常 的 检测 技术 

基于 异常 的 检测 技术 则 是 先 定义 一 组 系统 正常 情况 的 数值 ,如 CPU 利用 率 、 内 存 利用 
率 、 文 件 校 验 和 等 (这 类 数据 可 以 人 为 定义 ,也 可 以 通过 观察 系统 ,使 用 统计 的 办 法 获得 ) , 然 
后 将 系统 运行 时 的 数值 与 所 定义 的 “正常 "情况 比较 ,从 而 得 出 是 否 有 被 攻击 的 迹象 。 基 于 
异常 检测 的 示意 图 如 图 9. 6 所 示 , 这 种 检测 方式 的 核心 在 于 如 何 定义 所 谓 的 “正常 ?情况 。 


90 异常 检测 只 能 识别 出 那些 与 正常 过 程 

ey a ARMEE ”有 较 大 偏差 的 行为 ,无 法 准确 判断 出 
60 m— j) 攻击 的 手法 ,但 它 可 以 (至 少 在 理论 上 

"n * ER M 可 以 ) 判 断 更 广泛 甚至 未 发 觉 的 攻击 。 
30 口 异常 行为 FortiGate 防火 墙 的 异常 行为 定义 如 

20 图 9.7 所 示 ,通过 定义 tcp_syn_flood、 

P udp. flood. icmp. flood 的 阔 值 ,来 判断 

评价 指标 是 否 为 入侵 行为 。 由 于 对 各 种 网 络 环 

图 9.6 基于 异常 检测 的 示意 图 境 的 适应 性 不 强 , 且 缺乏 精确 的 判定 
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准则 ,基于 异常 的 检测 技术 本 身 就 有 漏 报 或 误 报 率 较 高 的 缺点 。 
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图 9.7 FortiGate 防火 墙 的 异常 行为 定义 


在 IDS 系 统 中 ,所 谓 漏 报 (False Negatives) ,是 指 攻击 事件 没有 被 IDS 检测 到 ,而 误 
报 (False Positives) 是 指 IDS 将 正常 事件 识别 为 攻击 。 发 生 这 些 问题 主要 有 如 下 两 个 
原因 。 

(1) IDS 通过 网 络 嗅 探 (Sniffer) 技 术 获 取 网 络 数 据 包 后 ,需要 进行 协议 分 析 、 模 式 匹配 
或 异常 统计 才 可 能 发 现 人 侵 行为 。 协 议 分 析 本 身 是 很 复杂 的 , 当 涉 及 数目 庞大 的 应 用 协议 、 
各 种 加 密 或 编码 方式 ,以 及 针对 IDS 的 规避 技术 时 , 则 更 是 如 此 。 在 没有 透彻 分 析 数 据 包 
涉及 协议 的 情况 下 ,发 生 漏 报 和 误 报 是 在 所 难免 的 。 要 解决 这 类 问题 ,除了 加 大 协议 分 析 的 
深度 和 细 度 外 ,还 有 待 于 理论 和 技术 上 的 突破 。 

(2) 随 着 网 络 系统 结构 的 复杂 化 和 大 型 化 ,系统 的 弱点 和 漏洞 将 趋向 于 分 布 式 。 此 外 ， 
随 着 黑客 和 人 侵 水 平 的 提高 ,入 侵 行为 也 不 再 是 单一 的 行为 ,单个 的 IDS 设备 (无 论 是 主机 型 
还 是 网 络 型 ) 应 对 分 布 式 .协同 式 、 复 杂 模 式 攻击 的 入 侵 行为 时 ,就 显得 十 分 力 单 势 薄 。 要 解 
决 这 类 问题 ,入 侵 检测 系统 也 需要 向 分 布 式 结构 发 展 ,采用 分 布 收 集 信息 、 分 布 处 理 多 方 协 
作 的 方式 。 


9.2.3 入 侵 检 测 过 程 


从 总 体 来 说 ,入侵 检测 系统 可 以 分 为 两 个 部 分 : 收集 系统 和 非 系统 中 的 信息 。 入 侵 检 
测 对 收集 到 的 数据 进行 分 析 ,并 采取 相应 措施 。 


1. 信息 收集 

信息 收集 包括 收集 系统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行为 。 而 且 , 需 要 在 计算 机 网 
络 系统 中 的 若干 不 同 关键 点 (不 同 网 段 和 不 同 主机 ) 收 集 信息 ,这 除了 尽 可 能 扩大 检测 范围 
外 ,还 有 一 个 就 是 ,对 来 自 不 同 源 的 信息 进行 特征 分 析 后 通过 比较 得 出 问题 所 在 的 因素 。 

入 侵 检测 很 大 程度 上 依赖 于 收集 信息 的 可 靠 性 和 正确 性 ,因此 ,很 有 必要 利用 所 知道 的 
真正 的 和 精确 的 软件 来 报告 这 些 信息 。 因 为 黑客 经 常 替换 软件 以 搞 混 和 移 走 这 些 信息 , 例 
如 替换 被 程序 调用 的 子 程序 .记录 文件 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失 
常 并 看 起 来 跟 正 常 的 一 样 。 例 如 ,UNIX 系统 的 PS 指令 可 以 被 替换 为 一 个 不 显示 侵入 过 程 
的 指令 ,或 者 是 编辑 器 被 替换 成 一 个 读 取 不 同 于 指定 文件 的 文件 (黑客 隐藏 了 初试 文件 并 用 
另 一 版 本 代替 )。 这 需要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性 ,特别 是 入 侵 检测 系统 软件 
本 身 应 具有 相当 强 的 坚固 性 ,以 防止 被 算 改 而 收集 到 错误 的 信息 。 入 侵 检测 利用 的 信息 一 
般 来 自 以 下 3 个 方面 (这 里 不 包括 物理 形式 的 入 侵 信息 ) 。 

(1) 系统 和 网 络 日 志文 件 。 黑 客 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ,因此 ,可 以 充 
分 利用 系统 和 网 络 日 志文 件 信息 。 日 志 包含 发 生 在 系统 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 
证 据 , 这 些 证 据 可 以 指出 有 人 正在 入 侵 或 已 成 功 入 侵 了 系统 。 通 过 查看 日 志文 件 , 能 够 发 现 
成 功 的 入 侵 或 人 侵 企 图 ,并 很 快 地 启动 相应 的 应 急 响应 程序 。 日 志文 件 中 记录 了 各 种 行为 
类 型 ,每 种 类 型 又 包含 不 同 的 信息 ,例如 记录 “用 户 活动 ”类 型 的 日 志 , 就 包含 登录 、 用 户 ID 
改变 、 用 户 对 文件 的 访问 、 授 权 和 认证 信息 等 内 容 。 很 显然 ,对 用 户 活动 来 讲 , 不 正常 的 或 不 
期 望 的 行为 就 是 重复 登录 失败 、 登 录 到 不 期 望 的 位 置 及 非 授权 的 企图 访问 重要 文件 等 。 

(2) 非 正常 的 目录 和 文件 改变 。 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 , 它 
们 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 非 正 常 改变 (包括 修改 、 创 建 和 删除 ), 特 
别 是 那些 正常 情况 下 限制 访问 的 ,很 可 能 就 是 入 侵 产 生 的 指示 和 信号 。 黑 客 经 常 替换 、 修 改 
和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ,同时 ,为 了 隐藏 他 们 在 系统 中 的 表现 及 活动 痕迹 ， 
都 会 尽力 去 替换 系统 程序 或 修改 系统 日 志文 件 。 

G) 正常 的 程序 执行 。 网 络 系统 上 的 程序 执行 一 般 包括 操作 系统 .网络 服务 ,用户 启动 
的 程序 和 特定 目的 的 应 用 ,例如 Web 服务 器 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 
实现 。 一 个 进程 的 执行 行为 由 其 运行 时 执行 的 操作 来 表现 。 操 作 执行 的 方式 不 同 , 它 利用 
的 系统 资源 也 就 不 同 。 操 作 包 括 计 算 ,文件 传输 .设备 和 其 他 进程 ,以 及 与 网 络 间 其 他 进程 
的 通信 。 一 个 进程 出 现 了 不 期 望 的 行为 ,可 能 表明 黑客 正在 入 侵 系统 。 黑 客 可 能 会 将 程序 
或 服务 的 运行 分 解 ,从 而 导致 它 失败 ,或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 

2. 信号 分 析 

对 收集 到 的 有 关系 统 、 网 络 .数据 及 用 户 活 动 的 状态 和 行为 等 信息 ,一 般 通 过 3 种 技术 
手法 进行 分 析 : 模式 匹配 ,统计 分 析 和 完整 性 分 析 。 其 中 前 两 种 方法 用 于 实时 的 入 侵 检 测 ， 
而 完整 性 分 析 则 用 于 事后 分 析 。 

(1) 模式 匹配 。 模 式 匹 配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 已 有 模式 数据 
库 进行 比较 ,从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 ,以 寻 
找 一 个 简单 的 条 目 或 指令 ) ,也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变 
化 )。 一 般 来 讲 , 一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 
来 表示 。 该 方法 的 一 大 优点 是 只 需 收集 相关 的 数据 集合 ,从 而 显著 减少 系统 负担 , 且 技 术 已 
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相当 成 熟 。 它 与 病毒 防火 墙 采用 的 方法 一 样 ,检测 准确 率 和 效率 都 相当 高 。 但 是 ,该 方法 存 
在 的 弱点 是 ,需要 不 断 地 升级 以 对 付 不 断 出 现 的 黑客 攻击 手法 ,并 且 不 能 检测 到 从 未 出 现 过 
的 黑客 攻击 手段 。 

(2) 统计 分 析 。 统 计 分 析 方法 首先 给 系统 对 象 (如 用 户 文件 .目录 和 设备 等 ) 创 建 一 个 
统计 描述 ,统计 正常 使 用 时 的 一 些 测 量 属性 (如 访问 次 数 ,操作 失败 次 数 和 延 时 等 )。 在 比较 
这 一 点 上 与 模式 匹配 有 些 相 似 之 处 。 测 量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 
比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 , 例 如 ,本 来 都 默认 用 Guest 账号 
登录 的 ,突然 用 Admini 账号 登录 。 这 样 做 的 优点 是 可 检测 到 未 知 的 入 侵 和 更 为 复杂 的 人 
侵 , 缺 点 是 误 报 、 漏 报 率 高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 具 体 的 统计 分 析 方 法 ,如 基 
于 专家 系统 的 、 基 于 模型 推理 的 和 基于 网 络 的 分 析 方 法 ,目前 正 是 研究 热点 并 处 于 迅速 发 展 
之 中 。 

G) 完整 性 分 析 。 完 整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 , 这 经 常 包 括 文件 
和 目录 的 内 容 及 属性 , 它 在 发 现 被 更 改 的 、 被 特洛伊 化 的 应 用 程序 方面 特别 有 效 。 完 整 性 分 
析 利 用 强 有 力 的 加 密 机 制 ( 称 为 消息 摘要 函数 ,例如 MD5), 可 识别 哪怕 是 微小 的 变化 。 其 
优点 是 ,不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 和 人 侵 , 只 要 是 攻击 导致 了 文件 或 其 他 对 
象 的 任何 改变 , 它 都 能 够 发 现 。 缺 点 是 ,一 般 以 批 处 理 方式 实现 ,用 于 事后 分 析 ,而 不 用 于 实 
时 响应 。 尽 管 如 此 ,完整 性 分 析 方 法 也 应 该 是 网 络 安全 产品 的 必要 手段 之 一 。 例 如 ,可 以 在 
每 一 天 的 某 个 特定 时 间 开 启 完整 性 分 析 模 块 ,对 网 络 系统 进行 全 面 的 扫描 检查 。 

3. 实时 记录 ,报警 或 有 限度 反击 

IDS 的 根本 任务 是 要 对 和 人 侵 行 为 做 出 适当 的 反应 ,这 些 反 应 包括 详细 日 志 记录 、 实 时 报 
警 和 有 限度 地 反击 攻击 源 。 


9.2.4 数据 完整 性 监控 工具 Tripwire 的 使 用 


Tripwire 的 原理 是 Tripwire 软件 被 安装 .配置 后 ,对 要 求 校 验 的 系统 文件 进行 类 似 
MD5 的 处 理 , 从 而 生成 一 个 唯一 的 标识 , 即 * 快 照 "。 随 着 文件 的 添加 、 删 除 和 修改 等 操作 ， 
通过 系统 数据 现状 与 不 断 更 新 的 数据 库 进 行 比较 ,来 判定 哪些 文件 被 添加 、 删 除 和 修改 过 。 
正 因为 初始 的 数据 库 是 在 Tripwire 软件 被 安装 .配置 后 建立 的 ,所 以 应 该 在 服务 器 开放 前 ， 
或 者 说 操作 系统 刚 被 安装 后 用 Tripwire 构建 数据 完整 性 监测 系统 。 

当 服务 器 遭 到 黑客 攻击 时 ,在 多 数 情况 下 ,黑客 可 能 对 系统 文件 等 一 些 重要 的 文件 进行 
修改 。 为 此 ,人 们 用 Tripwire 建立 数据 完整 性 监测 系统 。 虽 然 它 不 能 抵御 黑客 攻击 以 及 黑 
客 对 一 些 重要 文件 的 修改 ,但 是 可 以 监测 文件 是 否 被 修改 过 以 及 哪些 文件 被 修改 过 ,从 而 在 
被 攻击 后 有 的 放 矢 地 策划 出 解决 办 法 。 

Tripwire 由 下 面 的 部 分 组 成 。 

。 配置 文件 : 定义 数据 库 、 策 略 文件 和 Tripwire 可 执行 文件 的 位 置 。 

。 策略: 定义 检测 的 对 象 及 违规 时 采取 的 行为 。 

。 数据 库 : 用 于 存放 生成 的 快照 。 

另外 ,Tripwire 为 了 自身 的 安全 ,防止 自身 被 自 改 ,也 会 对 自身 进行 加 密 和 签名 处 理 。 
其 中 ,包括 以 下 两 个 密 钥 。 

。 site 密 钥 : 用 于 保护 策略 文件 和 配置 文件 ,只 要 使 用 相同 的 策略 和 配置 的 机 器 ,就 可 


以 使 用 相同 的 site 255 , Hl /etc/tripwire/site. key. 

* local 密 钥 : 用 于 保护 数据 库 和 分 析 报 告 。 

a 课业 任务 9-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , WYL 公司 服务 器 安装 的 是 UNIX 操作 系统 。 当 
服务 器 遭 到 黑客 攻击 时 ,可 能 会 对 系统 文件 等 一 些 重要 文件 进行 修改 。 为 了 监测 文件 是 否 
被 修改 过 以 及 哪些 文件 被 修改 过 ,Bob 使 用 Tripwire 软件 建立 数据 完整 性 监测 系统 , 当 服 
务 器 被 黑客 攻击 后 能 够 有 的 放 矢 地 找 出 解决 方案 。 

具体 操作 步骤 如 下 。 

(1) 安装 Tripwire 软件 后 ,初始 化 数据 库 。 使 用 local 密 钥 的 口令 初始 化 数据 库 
tripwire --init 。 

(2) 检查 完整 性 。 如 果 把 /etc/security/limits. conf 文件 中 的 内 容 手动 修改 并 保存 , 然 
后 手工 运行 全 面 检查 的 命令 tripwire --check。 

(3) 查看 结果 。 


twprint —- print- report -- twrfile mail. linuxfly.org- 20070614 - 155313.twr |more 


显示 结果 如 图 9.8 和 图 9. 9 所 示 。 从 图 9. 8 和 图 9. 9 可 以 看 出 ,被 修改 的 文件 前 后 属 
性 可 清楚 地 分 辨 出 来 。 


图 9.8 Tripwire 完整 性 检查 结果 1 
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图 9.9 Tripwire 完整 性 检查 结果 2 


9.3 ”入侵 检测 技术 的 实施 


在 网 络 安全 领域 , 随 着 黑客 应 用 技术 的 不 断 “ 傻 瓜 化 ”, 入 侵 检 测 系 统 的 地 位 正在 逐渐 增 
强 。 一 个 网 络 中 ,只 有 有 效 实施 了 IDS, 才 能 敏锐 地 察觉 攻击 者 的 侵犯 行为 ,才能 防 患 于 未 
然 。 但 无 论 如 何 , 入 侵 检 测 不 是 对 所 有 的 入 侵 都 能 够 及 时 发 现 的 ,即使 拥有 当前 最 强大 的 入 
侵 检 测 系统 ,如 果 不 及 时 修补 网 络 中 的 安全 漏洞 ,安全 也 无 从 谈 起 . 


9.3.1 IDS 系统 放置 的 位 置 


1. 网 络 主机 

在 非 混 杂 模 式 网 络 中 ,可 以 将 NIDS 系统 安装 在 主机 上 ,从 而 监测 位 于 同一 交换 机 上 的 
机 器 间 是 否 存在 攻击 现象 。 

2. 网 络 边界 

IDS 非常 适合 于 安装 在 网 络 边 界 处 ,例如 防火 墙 的 两 端 ,拨号 服务 器 附近 及 到 其 他 网 络 
的 连接 处 。 由 于 这 些 位 置 的 带宽 不 是 很 高 ,所 以 IDS 系统 可 以 跟 上 通信 流 的 速度 。 

3. 广域网 中 枢 

由 于 经 常 发 生 从 偏僻 地 带 攻 击 广域网 核心 位 置 的 案件 以 及 广域网 的 带宽 通常 不 是 很 
高 ,在 广域网 的 骨干 地 段 安装 IDS 系统 也 显得 日 益 重 要 。 

4. 服务 器 群 

服务 器 的 种 类 不 同 , 通 信 速 度 也 就 不 同 。 对 于 流量 速度 不 是 很 高 的 应 用 服务 器 ,安装 
IDS 是 非常 好 的 选择 ; 对 于 流量 速度 快 但 又 特别 重要 的 服务 器 ,可 以 考虑 安装 专用 IDS 系 


统 进行 监测 。 

5. 局 域 网 中 枢 

IDS 系统 通常 都 不 能 很 好 地 应 用 于 局 域 网 ,因为 它 的 带宽 很 高 ,IDS 很 难 追 上 狂奔 的 数 
据 流 ,不 能 完成 重新 构造 数据 包 的 工作 。 如 果 必 须 使 用 ,那么 就 不 能 对 IDS 的 性 能 要 求 太 
高 ,达到 检测 简单 攻击 的 目的 就 应 该 心满意足 。 


9.3.2 DS 如 何 与 网 络 中 的 其 他 安全 措施 相配 合 


CD 建立 不 断 完善 的 安全 策略 。 这 一 点 非常 重要 , 谁 负责 干什么 ,发生 了 入侵 事件 后 怎 
么 干 ,有 了 这 些 , 就 有 了 正确 行动 的 指南 。 

(2) 根据 不 同 的 安全 要 求 , 合 理 放 置 防火 墙 。 例 如 , 放 在 内 部 网 和 外 部 网 之 间 、 放 在 服 
务 器 和 客户 端 之 间 、 放 在 公司 网 络 和 合作 伙伴 网 络 之 间 。 

(3) 使 用 网 络 漏洞 扫描 器 检查 防火 墙 的 漏洞 。 

(4) 使 用 主机 策略 扫描 器 确保 服务 器 等 关键 设备 的 最 大 安全 性 ,比如 查看 它们 是 否 已 
经 打 了 最 新 补丁 。 

(5) 使 用 NIDS 系统 和 其 他 数据 包 嗅 探 软 件 查 看 网 络 上 是 否 有 “ 黑 ” 流 涌 动 。 

(6) 使 用 基于 主机 的 IDS 系统 和 病毒 扫描 软件 对 成 功 的 入 侵 行为 作 标记 。 

(7) 使 用 网 络 管理 平台 为 可 疑 活动 设置 报警 。 最 起 码 , 所 有 的 SNMP 设备 都 应 该 能 够 
发 送 “验证 失败 ”的 Trap 信息 ,然后 由 管理 控制 台 向 管理 员 报 警 。 

A 课业 任务 9-2 

Bob 是 WYL 公司 的 安全 运 维 工 程 师 , WYL 公司 的 网 络 拓扑 图 如 9. 10 所 示 。Bob 为 
了 检测 Web 服务 器 的 入 侵 行 为 ,选用 开源 的 HIDS 产品 OSSEC 软件 ,并 采用 C/S 架构 的 
部 署 方法 ,OSSEC 服务 器 安装 在 Bob 的 计算 机 上 ,OSSEC 客户 端 运行 在 Web 服务 器 上 。 


多 Web Servers 
e HIDS-C 


远程 连接 
图 9.10 {E OSSEC 软件 检测 服务 器 上 的 入 侵 行为 的 网 络 拓扑 


OSSEC 是 一 款 开源 的 多 平台 的 HIDS, 主 要 功能 有 日 志 分 析 、 完 整 性 检查 、rootkit 检 
测 .基于 时 间 的 警报 和 主动 响应 。 如 果 有 多 台 计 算 机 都 安装 了 OSSEC ,那么 就 可 以 采用 客 
户 端 /服务 器 模式 来 运行 。 客 户 机 通过 客户 端 程序 将 数据 发 回 到 服务 器 端 进行 分 析 。 在 一 
台 计算 机 上 对 多 个 系统 进行 监控 对 于 企业 来 说 都 是 相当 经 济 实 用 的 。OSSEC 的 安装 和 配 
置 分 为 客户 端 和 服务 器 端 ,具体 步骤 如 下 。 

1. OSSEC 服务 端 安 装 

(1) 选择 内 部 一 台 服 务 器 (Linux 系统 ) 作 为 OSSEC 服务 器 。 
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(2) 将 OSSEC 源 代码 包 复制 到 该 服务 器 并 解压 。 

(3) 进入 OSSEC 目录 并 运行 install. sh 开始 安装 。 

OD 在 提示 输入 安装 类 型 时 输入 “server”。 

(5) 在 提示 输入 安装 路 径 时 输入 */opt/ossec”。 

(6) 在 提示 是 否 希望 接收 E-mail 通告 时 ,接受 默认 值 ,并 在 接 下 来 的 提示 中 依次 输入 
用 来 接收 OSSEC 通告 的 E-mail 地 址 、 邮 件 服务 器 的 名 称 或 IP 地 址 。 然 后 通过 设置 /etc/ 
alias 别名 列表 来 将 邮件 转发 到 指定 的 邮箱 。 

(7) 启动 服务 器 。 


#/var/ ossec /bin/ossec- control start 


2. 客户 端 安装 

(1) 在 Web 服务 器 上 (Windows 系统 ) 安 装 OSSEC, 双 击 osec-agent-win32-2. 4. 1. exe 
(2) 安装 过 程 中 ,所 有 选择 都 采用 默认 方式 。 

3. 在 服务 器 端 添加 Agent 并 生成 key 

CD 进入 OSSEC 的 安装 目录 并 添加 Agent。 


#cd /var/ossec/bin 

# . /manage_agents 

(2) 选择 添加 一 个 Agent. 

(3) 输入 Agent 的 名 称 、IP 地 址 及 序号 。 

(4) 在 服务 器 端 生 成 key。 

4. 配置 OSSEC 客户 端 

CD 在 如 图 9. 11 所 示 的 对 话 框 中 ,在 OSSEC Server IP 文本 框 中 输入 IP 地 址 ,本 任务 
输入 "10. 16. 26. 66”, 复 制服 务 器 上 的 key 文件 到 客户 端 并 单 击 Save 按钮 确定 。 

(2) 选择 Manage-*Start OSSEC 命令 ,开始 运行 OSSEC 客户 端 ,如 图 9. 12 所 示 。 


xi 
Manage View Help 


| Ossec HIDS v241 
Agent: Auth key not imported. (0) - 0 
Status: Require import of authentication key. 
Missing OSSEC Server IP address. 
- Not Running... 


OSSEC Server IP: [10.16.26.66 


Authentication key: [DI4Y2VkZDI40TUz0TBhMQ=4 


OSSEC Server IP: [10.16.26.66 


Authentication key: |MDAxIHpedCAxMC4xNi4y Nds 


eme | Been | Ci Been | 
http:/fwww.ossec.net | [Auth key and server ip sav | 


图 9.11 OSSEC 客户 端 配置 图 9.12 运行 OSSEC 客户 端 


5. 配置 服务 器 端的 远程 日 志 
(1) 配置 remote syslog 服务 器 。 
(2) 停止 OSSEC 服务 器 。 


3t /var/ ossec /bin/ ossec - control stop 


(3) 修改 /var/ ossec/etc/ ossec. conf, 
TE / var/ ossec /etc/ ossec. conf 文件 中 添加 以 下 内 容 。 
< syslog_output > 


< server> 10.16.13.213 </server> 
</syslog_output > 


(4) 配置 syslog 并 启动 OSSEC 。 


# /var/OSSEC/bin/ ossec - control enable client - syslog 
# /var/OSSEC/bin/ ossec - control start 


经 过 以 上 配置 ,如 果 Web 服务 器 受到 黑客 人 侵 ,OSSEC 服务 端 将 会 有 详细 日 志文 件 记载 。 


9.4 入 侵 检 测 技术 发 展 方向 


入 侵 检 测 作为 一 种 积极 主动 的 安全 防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 
实时 保护 ,在 网 络 系统 受到 危害 之 前 拦截 和 响应 入 侵 。 入 侵 检测 系统 面临 的 最 主要 的 挑战 
有 两 个 : 一 个 是 虚 警 率 太 高 , 另 一 个 是 检测 速度 太 慢 。 因 此 ,可 以 这 样 说 ,入 侵 检测 产品 仍 
具有 较 大 的 发 展 空间 ,从 技术 途径 来 讲 , 除 了 完善 常规 的 ,传统 的 技术 (模式 识别 和 完整 性 检 
测 ) 外 ,应 重点 加 强 统 计 分 析 的 相关 技术 研究 。 


9.4.1 目前 IDS 存在 的 主要 问题 


入 侵 检 测 系统 往往 被 认为 是 保护 网 络 系统 的 “最 后 一 道 安全 防线 ”。 今 天 的 网 络 黑客 已 
经 学 会 将 真正 的 攻击 动作 隐藏 在 大 量 虚 假 报警 之 中 ,这 使 得 用 户 质疑 。 根 据 国 外 权威 机 构 
近来 发 布 的 入侵 检测 产品 评测 报告 ,目前 主流 的 入 侵 检 测 系统 大 都 存在 3 个 问题 。 

(1) 存在 过 多 的 报警 信息 ,即使 在 没有 直接 针对 入 侵 检 测 系统 本 身 进行 恶意 攻击 时 ,入 
侵 检 测 系 统 也 会 发 出 大 量 报警 。 

(2) 入 侵 检测 系统 自身 的 抗 强力 攻击 能 力 差 。 入 侵 检测 系统 的 智能 分 析 能 力 越 强 ,处 
理 越 复杂 , 抗 强力 攻击 的 能 力 就 越 差 。 目 前 入 侵 检 测 系统 的 设计 趋势 是 , 越 来 越 多 地 追踪 和 
分 析 网 络 数据 流 状态 ,使 系统 的 智能 分 析 能 力 得 到 提高 ,但 由 此 引起 的 弊端 是 系统 的 健壮 性 
被 削弱 ,并且 对 高 带宽 网 络 的 适应 能 力 有 所 下 降 。 

O 缺乏 检测 高 水 平 攻击 者 的 有 效 手段 。 现 有 的 人 侵 检测 系统 一 般 都 设置 了 阔 值 ,只 
要 攻击 者 将 网 络 探测 、 攻 击 速度 和 频率 控制 在 冰 值 之 内 ,入侵 检测 系统 就 不 会 报警 。 


9.4.2 IDS 技术 的 发 展 方向 


1. 分 布 式 人 侵 检测 

第 一 层 含 义 , 即 针对 分 布 式 网 络 攻击 的 检测 方法 ; 第 二 层 含义 ,即使 用 分 布 式 的 方法 来 
检测 分 布 式 的 攻击 ,其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 人 侵 攻击 的 全 局 信息 的 提取 。 

2. 智能 化 人 侵 检测 

智能 化 入 侵 检测 即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检测 。 所 谓 的 智能 化 方法 , 现 
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阶段 常用 的 有 神经 网 络 .遗传 算法 .模糊 技 术 、 免 疫 原 理 等 方法 ,这些 方法 常用 于 入 侵 特 征 的 
辨识 与 泛 化 。 利 用 专家 系统 的 思想 来 构建 人 侵 检 测 系统 也 是 常用 的 方法 之 一 。 特 别 是 具有 
自学 习 能 力 的 专家 系统 ,实现 了 知识 库 的 不 断 更 新 与 扩展 ,使 设计 的 入侵 检测 系统 的 防范 能 
力 不 断 增强 ,应 具有 更 广泛 的 应 用 前 景 。 较 为 一 致 的 解决 方案 应 为 高 效 常 规 意义 下 的 入 侵 
检测 系统 与 具有 智能 检测 功能 的 检测 软件 或 模块 的 结合 使 用 。 

3. 基于 内 核 的 人 侵 检测 

基于 内 核 的 人 侵 检测 是 一 种 相当 巧妙 的 新 型 的 Linux 入 侵 检测 系统 。 现 在 最 主要 的 基 
于 内 核 的 人 侵 检测 系统 叫做 LIDS, 用 户 可 以 从 http://www. lids. org/ 下 载 。LIDS 是 一 种 
基于 Linux 内 核 的 入 侵 检测 和 预防 系统 。LIDS 的 主要 目的 是 防止 超级 用 户 算 改 系统 重要 
文件 。LIDS 的 主要 特点 是 提高 系统 的 安全 性 ,防止 直接 的 端口 连接 或 者 是 存储 器 连接 , 防 
止 原始 磁盘 的 使 用 ,同时 还 要 保护 系统 日 志文 件 。LIDS 当然 也 会 适当 制止 一 些 特 定 的 系 
统 操作 ,譬如 安装 Sniffer 修改 防 火 墙 的 配置 文件 。 

4. 全 面 的 安全 防御 方案 

全 面 的 安全 防御 方案 即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问题 ,将 
网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 .网 络 结构 .加 密 通 道 、 防 火 墙 . 病 毒 防护 .人 侵 
检测 多 方位 全 面 对 所 关注 的 网 络 进行 全 面 的 评估 ,然后 提出 可 行 的 全 面 解决 方案 。 例 如 ， 
IDS 与 防火 墙 联动 功能 ,入侵 检测 发 现 攻击 ,自动 发 送 给 防火 墙 ,防火 墙 加 载 动态 规则 拦截 
入 侵 , 称 为 防火 墙 联动 功能 。 


9.4.3 IPS 技术 


随 着 网 络 攻 击 技术 的 发 展 ,对 安全 技术 提出 了 新 的 挑战 ,IDS 只 能 检测 入 侵 行为 , 却 不 
能 实时 地 阻止 攻击 ,而 且 IDS 具有 较 高 的 漏 报 率 和 误 报 率 。 在 这 种 情况 下 ,IPS( 入 侵 防 御 
系统 ) 便 成 为 了 新 一 代 的 网 络 安全 技术 。IPS 是 一 个 计算 机 安全 设备 ,其 作用 为 实时 监控 网 
络 或 系统 活动 , 在 恶意 行为 被 发 动 时 进行 阻止 。 如 果 IPS 检测 到 攻击 行为 ,就 会 自动 地 将 
攻击 拦截 或 采取 措施 阻 断 攻 击 源 , 而 不 把 流量 放 进 内 部 网 络 。IPS 产品 在 部 署 时 ,一 般 在 网 
络 中 以 串 接 方式 工作 ,这 样 将 保证 所 有 网 络 数据 都 经 过 IPS 设备 。IPS 检测 数据 流 中 的 恶 
意 代码 ,核对 策略 ,在 未 转发 到 服务 器 之 前 ,将 信息 包 或 数据 流 拦截 。 

为 了 节约 生产 成 本 ,现在 市 场 上 的 IPS 产品 一 般 是 与 其 他 产品 的 组 合 。 例 如 ,深信 服 的 
NGAF( 下 一 代 防 火 墙 ) ,不 但 可 以 提供 基础 网 络 安全 功能 ,如 状态 检测 、 抗 DDoS, NAT 等 ， 
还 实现 了 统一 的 应 用 安全 防护 ,可 以 针对 一 个 入 侵 行为 中 的 各 种 技术 手段 进行 统一 的 检测 
和 防护 ,如 应 用 扫描 、 漏 洞 利 用 、Web 入侵、 非法 访问 、 蠕 虫 病毒 .带宽 滥用 .恶意 代码 等 。 
NGAF 涵盖 传统 防火 墙 IPS 的 主要 功能 ,内 部 能 够 实现 内 核 级 联动 ,是 一 款 “L2-L7 完整 的 
安全 防护 产品 ”。 这 也 是 Gartner 定义 的 “额外 的 防火 墙 智能 ”实现 的 前 提 , 只 有 做 到 真正 的 
内 核 级 联动 ,才能 为 用 户 的 业务 系统 提供 一 个 安全 防护 的 “铜墙铁壁 "。NGAF 的 主 界面 如 
图 9.13 所 示 。 

从 NGAF 主 界面 可 以 看 出 ,该 设备 具有 IPS、 服 务 器 防护 、 病 毒 防护 和 Web 安全 防护 的 
功能 ,NGAF 功能 如 表 9. 1 所 示 。 


Desrrmt- 中) 恢 复 默认 旺 示 模块 
系统 信息 sax 今日 安全 日 志江 总 slaa x 
服务 器 安全 事件 ov 一 站 65 gg sns gan ^| p: 次 数 1] 
dede Ba gam mu me (| memea ^ te 
+ anete STB: 10582 mU 0143 0103 Fuss 10 2013-03-11 08:00:27 
> PART APR: 4071 URLE: rrr Du ss 攻击 5 2013-05-11 10:38:02 
i E. HAE m» ome E ESI 
， ERE er mo m | D 
E yep CROP rre mu me | Emeeemem o - 
^n EU NM 125 2013-03-11 10:43:05 
NN 由 基站 防护 sax) RARES zaa x 
区 db [77] sarema 排名 RARAN ta- TH 88H 
保护 中 天 河池 院 网 站 三 
图 9.13 NGAF 主 界面 
表 9.1 NGAF 功能 
技术 功能 功能 价值 
D IPS 漏洞 防护 基于 漏洞 以 及 攻击 行为 的 特征 库 , 提 供 自动 或 手动 升级 方式 。 防御 包括 蠕虫 、 木 
马 、 后 门 、 应 用 层 DoS/DDoS. 扫 描 、 间 谍 软件 、 漏 洞 攻 击 、 缓 冲 区 溢出 、 协 议 异常 、 
IPS 逃逸 攻击 等 
钨 服务 器 防护 针对 OWASP 提出 的 Web 安全 威胁 的 防护 ,如 SQL 注入 、XSS、CSRF 等 ; 提供 
网 站 路 径 保护 .暴力 破解 防护 ; 隐藏 Web 服务 与 FTP 服务 .FTP、Telent 88 E14 
防护 ; 文件 上 传 过 滤 、URL 黑 名 单 等 多 种 服务 器 防护 功能 
Ip ja 3$ p p 基于 流 引 擎 查 毒 技术 ,可 以 针对 HTTP.FTP.SMTP.POP3 等 协议 进行 查 杀 ; 可 
实时 查 杀 大 量 文件 型 .网 络 型 和 混合 型 等 各 类 病毒 ; 并 采用 新 一 代 虚 拟 脱党 和 
行为 判断 技术 ,准确 查 杀 各 种 变种 病毒 .未知 病毒 
( Web 安全 防护 提供 URL 过 滤 文件 过 滤 、ActiveX 过 滤 、 和 脚本 过 滤 等 多 种 Web 安全 防护 手段 


当 NGAF 检测 到 攻击 行为 时 , 它 将 记载 并 按 预 先 设 定 的 动作 执行 ,如 图 9. 14 和 图 9. 15 所 示 。 


[amis | 导出 日 志 


1 20130311 10:0… 
2 2013-03-11 09:2… 
3 2013-03-11 09:0- 
4 2013-03-11 09:0- 
5 — 2013-03-11 08:2- 
8 — 2013-03-11 08:2… 
7 — 2013-03-11 07:5… 


8 — 2013-03-11 07:2-- 


8 — 2013-03-11 07:0- 


10 — 2013-03-11 OT:0--- 


11 — 2013-03-11 06:5-- 


12 — 2012.00.11 06: 


13 — 2013-08-11 06:4 


/phpnyadnin/ind-- 
phy udin ind- 


类 型 协议 URUBX 
TAWAKE TCP 。 /phpayadninyind… 
Xss 攻击 TCP 。 /plus/feedback … 
网 站 扫描 TCP /favicon. ico 
信息 泄漏 到 击 TCP 。 /phpoyadmis/ind-— 
网 站 扫描 TCP /favicon ico 
网 站 扫描 TCP /favicon ico 
信息 泄漏 攻击 TCP 。 /phpoyadmin/inde- 
信息 泄漏 攻击 TCP 。 /phpeyedmin/inde- 
信息 汇 漏 攻击 TCP /phpayadmin/ind 
信息 港 漏 到 击 TCP 。 /phpoyadmin/ind-- 

TC 

Tcr 

T 


phpnyadnin/ ind-- 


220. 181. 89. 142 
1.58.69.191 

220. 249. 101. 154 
181.89. 142 
220. 249. 101. 154 
220. 249. 101. 154 
220. 181. 89. 142 
220. 181.89. 142 
220. 181.89. 142 
220. 181.89. 142 
220. 181.89. 142 
220. 101.09. 142 


220. 181. 89. 142 


192. 168.8. 13 
192. 168.8.13 
192. 168.8. 13 
192. 188.8. 13 
192. 168.8.13 
192. 168.8. 13 
192. 168.8. 13 
192. 168.8.13 
192. 168.6. 13 
192. 188.8. 13 
192. 168.8. 13 
182.160.0.12 


192. 168.8. 13 
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图 9. 14 NGAF 拦截 攻击 行为 


AGE EU. 


ow 


网 络 安 会 技术 与 实践 


[à zit | [ 流 导 出 日 志 | 

查询 条 件 : 时 间 (2013-03-11 00:00~2013-03-11 23:59) | BERAZ) | HIPORA) | 目的 区 域 (所 有 区 域 ) | 目的 IP(192.168.8.19| 

序号 时 间 URUBR ær 目的 IP Sè FESI 动作 
2013-03-11 10:3--- /plus/feedback php 192. 168.8. 253 192. 168. 8. 19 side 中 允许 


2013-03-11 08:1«-- Jplus/feedback php 192.168.8.253 — 182.168.8.18 sidie 允许 


2013-03-11 03:0-—- fadnin. php 192.168.8.253 192. 168. 8. 19 : 允许 


2013-03-11 03:0… Jadnin php 192.168.8.253 192. 168. 8. 19 idie itt E 


图 9.15 NGAF 记载 攻击 行为 


练 习 题 


1. 选择 题 
CO 关于 入 侵 检 测 系统 的 描述 ,下 列 叙 述 中 ( ) 是 错误 的 。 
A. 监视 分 析 用 户 及 系统 活动 
B. 发 现 并 阻止 一 些 已 知 的 攻击 活动 
C. 检测 违反 安全 策略 的 行为 
D. 识别 已 知 进攻 模式 并 报警 
(2) IDS 是 一 种 重要 的 安全 技术 ,其 实现 安全 的 基本 思想 是 ( Jia 
A. 过 滤 特 定 来 源 的 数据 包 
B. 过 滤 发 往 特定 对 象 的 数据 包 
C. 利用 网 闸 等 隔离 措施 
D. 通过 网 络 行为 判断 是 否 安全 
(3) IETF(Internet 工程 任务 组 ) 将 一 个 人 侵 检 测 系 统 分 为 4 个 组 件 ,4 个 组 件 中 不 包 


括 下 列 ( ^. 
A. 事件 产生 器 B. 事件 分 析 器 
C. 响应 单元 D. 控制 单元 
(4) IDS 与 其 他 网 络 安全 技术 相 比 ,IDS 的 最 大 特点 是 ( Ns 
A. 准确 度 高 B. 防 木 马 效果 最 好 
C. 能 发 现 内 部 误 操 作 D. 能 实现 访问 控制 


(5) 按照 检测 数据 的 来 源 可 将 入 侵 检 测 系 统 分 为 ( ) 。 
A. 基于 主机 的 IDS 和 基于 网 络 的 IDS 
B. 基于 主机 的 IDS 和 基于 域 控制 器 的 IDS 
C. 基于 服务 器 的 IDS 和 基于 域 控 制 器 的 IDS 
D. 基于 浏览 器 的 IDS 和 基于 网 络 的 IDS 
(6) 信号 分 析 有 模式 匹配 、 统 计 分 析 和 完整 性 分 析 3 种 技术 手段 ,其 中 ( ) 用 于 事后 
分 析 。 
A. 信息 收集 B. 统计 分 析 
C. 模式 匹配 D. 完整 性 分 析 


2. 简 答题 

CD 什么 叫 入 侵 检测 ? 入 侵 检测 系统 有 哪些 功能 ? 

(2) 根据 检测 对 象 的 不 同 , 入 侵 检测 系统 可 分 哪 几 种 ? 

(3) 常用 的 入 侵 检测 系统 的 技术 有 哪 几 种 ?其 原理 分 别 是 什么 ? 

OD. 人 侵 检测 系统 弥补 了 防火 墙 的 哪些 不 足 ? 

(5) 简 述 基于 主机 的 入 侵 检 测 系统 的 优点 。 

(6) 简 述 基于 网 络 的 入 侵 检 测 系统 的 优点 与 缺点 。 

(7) 评价 一 个 人 侵 检测 系统 的 优 劣 ,从 技术 角度 看 主要 从 哪 几 方面 来 考虑 ? 

(8) 简 述 IDS 的 发 展 趋势 。 

3. 思考 题 

观察 一 下 自己 所 在 院 校 的 校园 网 ,总 结 一 下 该 校 校园 网 的 安全 漏洞 。 假 设 你 们 学 校 要 
购买 IDS 产品 ,而 你 是 学 校 的 网 络 管理 员 ,请 思考 一 下 你 会 选择 市 场 上 的 哪 种 产品 ? 说 出 
你 选择 该 产品 的 依据 以 及 产品 实施 过 程 。 
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随 着 计算 机 、 宽 带 技术 的 迅速 发 展 ,网 络 办 公 日 益 流行 ,互联 网 已 经 成 为 人 们 工作 、 生 
活 、 学 习 过 程 中 不 可 或 缺 、 便 捷 高 效 的 工具 。 但 是 ,在 享受 着 计算 机 办 公 和 互联 网 带 来 便捷 
的 同时 ,员工 非 工作 上 网 现象 越 来 越 突 出 ,企业 普遍 存在 着 计算 机 和 互联 网 络 滥用 的 严重 问 
题 。 网 上 购物 .在线 聊天 、 在 线 欣赏 音乐 和 电影 `.P2P 工具 下 载 等 与 工作 无 关 的 行为 占用 了 
有 限 的 带宽 ,严重 影响 了 正常 的 工作 。 因 此 管理 员工 使 用 网 络 的 内 容 和 网 络 行为 ,特别 是 外 
贸 企 业 ,技术 含量 较 高 的 企业 (如 软件 .工程 类 ) ,政府 关键 部 门 等 意义 尤为 重要 。 

» 学 习 目 标 : 

。 熟悉 上 网 行为 管理 的 基础 知识 。 

。 了 解 上 网 行为 管理 的 基本 功能 。 

。 掌握 上 网 行为 管理 的 部 署 模式 。 

。 掌握 深信 服 上 网 行为 管理 的 权限 控制 、 上 网 审计 和 流量 管理 的 配置 。 

» 课业 任务 : 

本 章 通过 3 个 实际 课业 任务 ,由浅 入 深 、 循 序 渐 进 地 介绍 信息 上 网 行为 管理 的 基本 知识 
与 相关 原理 ,以 及 上 网 行为 管理 在 现实 中 的 应 用 。 

A 课业 任务 10-1 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , 近 段 时 间 , 不 断 有 公司 员工 反应 在 上 班 时 间 段 浏 
览 网 页 或 收发 邮件 的 速度 非常 慢 。 经 检测 ,Bob 发 现 市 场 部 有 个 别 员 工 在 上 班 时 间 段 使 用 
P2P 软件 下 载 文件 或 视频 ,占用 了 公司 的 网 络 带宽 。Bob 采用 SANGFORAC 设备 ,禁止 市 
场 部 员工 在 上 班 时 间 使 用 P2P 服务 。 

能 力 观测 点 

了 解 用 户 上 网 权限 管理 ; 使 用 SANGFORAC 进行 权限 控制 。 

A 课业 任务 10-2 

Bob 是 WYL 公司 的 安全 运 维 工程 师 ,WYL 公司 被 当地 公安 局 网 络 监察 处 执行 严厉 处 
罚 ,原因 是 查 出 该 企业 内 有 员工 在 网 上 发 布 了 违反 法 律 的 信息 ,但 是 无 法 查 出 是 哪 位 员工 所 
为 。Bob 在 SANGFORAC 设备 上 设置 一 条 审计 Web BBS 发 帖 内 容 、 审 计 用 户 访 问 网 页 的 
行为 策略 。 

能 力 观测 点 

了 解 用 户 上 网 审计 管理 ; 学 会 使 用 SANGFORAC 应 用 审计 策略 。 

3 课业 任务 10-3 

Bob 是 WYL 公司 的 安全 运 维 工 程 师 ,公司 租用 了 一 条 10Mbps 电信 线路 ,内 网 有 1000 
名 上 网 用 户 ,为 保证 财务 部 访问 网 上 银行 网 站 和 收发 邮件 的 数据 在 线路 繁忙 时 占用 带宽 不 


小 于 2Mbps, 同 时 最 大 也 不 超过 S Mbps. Bob 采用 SANGFORAC 进行 流量 管理 。 
能 力 观 测 点 
了 解 通道 带宽 保证 和 通道 带宽 限制 ; 学 会 使 用 SANGFORAC 进行 流量 管理 。 


10.1 上 网 行为 管理 基础 知识 


10.1.1 上 网 行为 管理 的 概念 


1. 上 网 行为 管理 应 用 背景 

2006 年 3 月 1 日 正式 实施 的 公安 部 82 号 令 即 (互联 网 安全 保护 技术 措施 规定 》 的 部 分 
内 容 如 下 :“ 记 录 并 留存 用 户 访问 的 互联 网 地 址 或 域名 ”,“ 在 公共 信息 服务 中 发 现 、 停 止 传 
输 违法 信息 ,并 保留 相关 记录 ,能 够 记录 并 留存 发 布 的 信息 内 容 及 发 布 时 间 ”, “电子 邮件 或 
者 短信 息 ”“ 应 当 具 有 至 少 保存 六 十 天 记录 备份 的 功能 ”。 

随 着 Internet 的 普及 和 带宽 的 增加 ,一 方面 员工 上 网 的 条 件 得 到 改善 , 男 一 方面 也 给 企 
业 带 来 更 高 的 网 络 使 用 危险 性 、 复 杂 性 和 混乱 。 在 IDC 对 全 世界 企业 网 络 使 用 情况 的 调查 
中 发 现 , 在 上 班 工作 时 间 里 非法 使 用 邮件 、 浏 览 非 法 Web 网 站 、 进 行 音乐 /电影 等 BT 下 载 
或 者 在 线 收 看 流 媒体 的 员工 正在 日 益 增加 ,这 令 网 络 管理 者 头疼 不 已 。 据 IDC 的 数据 统 
计 , 企 业 中 员工 的 30%~~40% 的 上 网 活动 与 工作 无 关 。 而 来 自 色 情 网 站 访问 统计 的 分 析 表 
明 : 70% 的 色情 网 站 访问 量 发 生 在 工作 时 间 。 这 些 员 工 随意 使 用 网 络 将 导致 以 下 3 个 
问题 ， 

。 工作 效率 低下 ; 

。 网 络 性 能 恶化 ; 

。 网 络 违法 行为 。 

因此 ,如 何 有 效 地 解决 这 些 问题 ,以 提高 员工 的 工作 效率 ,降低 企业 的 安全 风险 ,减少 企 
业 的 损失 ,已 经 成 为 中 国企 业 人 迫在眉睫 的 紧要 任务 。 当 前 内 网 安全 管理 也 随 之 提升 到 一 个 
新 的 高 度 , 在 防御 从 外 到 内 诸如 病毒 黑客 入 侵 、 垃 圾 邮件 的 同时 ,从 内 到 外 诸如 访问 控制 、 
监控 审计、 访问 跟踪 流量 限制 等 问题 也 日 益 呈 现 , 从 而 上 网 行为 管理 的 需求 也 就 出 现 了 。 

2. 上 网 行为 管理 的 定义 

上 网 行为 管理 是 专用 于 防止 非法 信息 恶意 传播 ,避免 国家 机 密 、 商 业 信 息 、 科 研 成 果 汇 
露 的 产品 。 该 产品 可 实时 监控 ,管理 网 络 资源 的 使 用 情况 ,提高 整体 工作 效率 。 该 产品 适用 
于 需 实施 内 容 审 计 与 行为 监控 ,行为 管理 的 网 络 环境 ,尤其 是 按 等 级 进行 计算 机 信息 系统 安 
全 保护 的 相关 单位 或 部 门 。 


10.1.2 上 网 行为 管理 的 基本 功能 


作为 近年 来 中 国 网 络 安全 市 场 增长 最 快 的 产品 之 一 ,上 网 行为 管理 产品 受到 了 业界 的 
广泛 关注 。 上 网 行为 管理 是 由 安全 厂商 逐步 定义 的 全 新 网 络 应 用 层 产品 , 随 着 客户 需求 的 
日 趋 明确 及 上 网 行为 管理 设备 厂商 的 不 断 创新 ,目前 ,上 网 行为 管理 产品 已 经 具备 了 标准 的 

品 功 能 定义 , 它 的 主要 功能 特点 如 下 。 
1. 记录 上 网 轨迹 ,满足 法 规 要 求 
上 网 行为 管理 产品 可 以 帮助 组 织 详尽 记录 用 户 的 上 网 轨迹 ,做 到 网 络 行为 有 据 可 查 , 能 
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够 进行 网 络 行为 的 后 期 取证 ,对 网 络 潜在 威胁 者 予以 威慑 ,满足 组 织 对 网 络 行为 记录 的 相关 
要 求 ,规避 可 能 的 法 规 风险 ,具体 如 下 。 

。 上 网 行为 实时 监控 : 对 网 络 当前 速率 、 带 宽 分 配 、 应 用 分 布 .人 员 带 宽 、 人 员 应 用 等 
进行 统一 展现 。 
上 网 行为 日 志 查 询 : 对 网 络 中 的 上 网 人 员 终端 地 点 、 上 网 浏览 、 上 网 外 发 、 上 网 应 
用 、 上 网 流量 等 行为 日 志 进 行 精准 查询 ,精确 定位 问题 。 
上 网 行为 统计 分 析 : 对 上 网 日 志 进 行 归纳 汇总 ,统计 分 析出 流量 趋势 .风险 趋势 、 泄 
密 趋势 效率 趋势 等 直观 的 报表 ,便于 管理 者 全 局 发 现 潜在 问题 。 

2. 上 网 行为 控制 ,规范 员工 上 网 ,提高 工作 效率 

上 网 行为 管理 产品 可 基于 用 户 / 用 户 组 ,应 用 、 时 间 等 条 件 的 上 网 授权 策略 ,可 以 精细 管 
控 所 有 与 工作 无 关 的 网 络 行 为 ,并 可 根据 各 组 织 的 不 同 要 求 进行 授权 的 灵活 调整 ,具体 
如 下 。 

。 网 页 过 滤 、 关 键 字 过 滤 、 内 容 检测 等 多 种 控制 功能 ,禁止 员工 在 上 班 时间 访 问 与 工作 

无 关 的 网 站 、 聊 天 、 玩 游戏 .看 电影 .BT 下 载 等 。 
。 独 有 的 网 络 访 问 准 入 系统 只 允许 符合 指定 条 件 的 用 户 连接 Internet, 以 避免 内 网 用 
户 遭 受 病毒 .木马 .间谍 软件 等 的 安全 威胁 。 

* 多 种 认证 机 制 ,细致 的 权限 划分 ,为 不 同 级 别 的 用 户 分 配 不 同 的 上 网 权限 。 

3. 管控 外 发 信息 ,降低 泄密 风险 

上 网 行为 管理 产品 充分 考虑 网 络 使 用 中 的 主动 泄密 、 被 动 汇 密 行为 ,从 事前 防范 、 事 中 
告警 .事后 追踪 等 多 方面 防范 泄密 ,为 组 织 保护 信息 资产 安全 ,降低 网 络 风险 。 对 微 博 、 邮 
fF .QQ.BBS 发 帖 等 外 发 信息 进行 过 滤 , 帮 助 企 业 过 滤 敏 感 的 内 容 , 防 止 企业 内 部 机 密 外 
ilb ,保护 企业 信息 资产 安全 。 

4. 防止 带宽 资源 滥用 

上 网 行为 管理 产品 通过 基于 应 用 类 型 .网 站 类 别 、 文 件 类 型 .用 户 / 用 户 组 .时 间 段 等 的 
细致 带宽 分 配 策略 限制 PZP、 在 线 视频 、 大 文件 下 载 等 不 良 应 用 所 占用 的 带宽 ,保障 OA, 
ERP 等 办 公 应 用 获得 足够 的 带宽 支持 ,提升 上 网 速度 和 网 络 办 公 应 用 的 使 用 效率 。 


10.1.3 第 二 代 上 网 行为 管理 


目前 推出 了 上 网 安全 桌面 功能 ,弥补 了 传统 上 网 行为 管理 在 安全 方面 的 不 足 。 上 网 安 
全 桌面 产品 采用 了 业内 领先 的 “ 沙 盒 ” 以 及 “ 重 定向 ”等 技术 , 仅 占 用 计算 机 极 少 部 分 的 内 存 ， 
在 不 改变 用 户 使 用 习惯 \ 不 增加 操作 复杂 度 的 前 提 下 ,将 内 网 与 风险 重重 的 互联 网 隔离 开 ， 
防止 病毒 .木马 对 计算 机 和 内 部 局 域 网 的 侵袭 ,保护 内 网 计算 机 与 企业 信息 、 个 人 隐私 安全 。 
同时 ,位 于 网 关 处 的 上 网 行为 管理 设备 与 终端 安全 桌面 形成 了 端 到 端的 安全 解决 方案 ,上 网 
安全 桌面 与 AC 设备 的 恶意 网 址 过 滤 等 创新 技术 相 结 合 ,实现 立体 式 安 全 护航 ,形成 一 套 符 
合 企 业 级 市 场 的 上 网 行为 管理 方案 。 


10.1.4 上 网 行为 管理 产品 


从 产品 形态 来 看 ,目前 上 网 行为 管理 分 为 硬件 和 软件 两 种 ,但 是 国内 以 硬件 为 主流 , 国 
外 以 软件 为 主流 。 硬 件 的 优势 : 部 署 简单 、 升 级 方便 故障 率 低 。 软 件 的 优势 : 成 本 适当 ， 


维护 简单 .安装 容易 、 升 级 快速 ,可 以 在 公司 随便 找 个 机 器 部 署 。 目 前 的 软 硬 件 结合 模式 越 
来 越 多 ,包括 加 入 准 入 模式 、VPN 的 上 网 行为 管理 .基于 客户 端的 内 网 管理 模式 和 文档 管理 
模式 ,为 的 是 内 外 兼 修 , 从 不 同 的 方向 去 弥补 单一 产品 的 不 足 。 企 业 应 该 根据 自身 的 应 用 需 
求 ,去 选择 自己 需要 的 合理 方案 。 如 果 只 是 追求 单一 产品 本 身 的 应 用 ,在 信息 化 建设 的 综合 
成 本 上 一 定 会 超出 很 多 预算 ,从 而 无 谓 地 增加 了 更 多 的 信息 化 成 本 。 国 内 比较 成 熟 的 上 网 
行为 管理 产品 有 网 康 和 深信 服 等 。 


10.2 上 网 行为 管理 产品 的 部 署 模式 


部 署 模式 用 于 设置 设备 的 工作 模式 ,可 把 设备 设 定 为 路 由 模式 、 网 桥 模 式 或 旁 路 模式 。 
选择 一 个 合适 的 部 署 模式 ,是 顺利 将 设备 架 到 网 络 中 并 且 使 其 正常 使 用 的 基础 。 

。 路 由 模式 : 将 设备 作为 一 个 路 由 设备 使 用 ,对 网 络 改动 最 大 ,但 可 以 实现 设备 的 所 
有 的 功能 。 

。 网 桥 模式 : 把 设备 视 为 一 条 带 过 滤 功 能 的 网 线 使 用 ,一 般 在 不 方便 更 改 原 有 网 络 拓 
扑 结构 的 情况 下 启用 ,然后 平滑 架 到 网 络 中 ,可 以 实现 设备 的 大 部 分 功能 。 

。 旁 路 模式 : 设备 连接 在 内 网 交换 机 的 镜像 口 或 Hub 上 ,以 镜像 内 网 用 户 的 上 网 数 
据 。 当 通过 镜像 的 数据 实现 对 内 网 上 网 数据 的 监控 和 控制 时 ,可 以 完全 不 改变 用 户 
的 网 络 环境 ,并 且 可 以 避免 设备 对 用 户 网 络 造成 中 断 的 风险 。 但 在 这 种 模式 下 , 设 
备 的 控制 能 力 较 差 ,部 分 功能 实现 不 了 。 


10.2.1 路 由 模式 


路 由 模式 是 把 设备 作为 一 个 路 由 设备 使 用 。 一 般 是 把 设备 放 在 内 网 网 关 出 口 的 位 置 ， 
代理 局 域 网 上 网 ; 或 者 把 设备 放 在 路 由 器 后 面 ,再 代理 局 域 网 上 网 ,常见 部 署 如 图 10. 1 


所 示 。 
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图 10.1 路 由 模式 


10.2.2 网 桥 模式 


网 桥 模式 是 把 设备 作为 一 条 带 过 滤 功 能 的 网 线 使 用 ,一 般 在 不 方便 更 改 原 有 网 络 拓扑 
结构 的 情况 下 启用 。 把 设备 接 在 原 有 网 关 及 内 网 用 户 之 间 , 在 原 网 关 及 内 网 用 户 不 需 做 任 
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何 配置 改变 的 情况 下 ,对 设备 进行 一 些 配 置 即 可 使 用 。 对 原 网 关 及 内 网 用 户 而 言 , 亦 不 知 设 
备 的 存在 , 即 所 谓 的 对 原 网 关 及 内 网 用 户 透 明 。 网 桥 模式 的 主要 特点 是 对 用 户 完全 透明 。 
网 桥 模式 分 为 网 桥 多 网 口 和 多 网 桥 两 种 模式 。 

1. 网 桥 多 网 口 

网 桥 多 网 口 是 指 设备 只 作为 一 个 网 桥 , 但 内 外 网 口 不 是 一 一 对 应 的 ,可 能 内 网 口 需要 接 
多 个 网 口 ,也 可 能 外 网 口 需要 接 多 个 网 口 ,各 个 网 口 之 间 的 数据 都 可 以 设置 转发 ,设备 的 
ARP 表 只 维持 一 份 。 网 桥 多 网 口 一 般 用 于 以 下 环境 。 

运行 环境 1: 交换 机 连接 到 外 网 两 条 线路 FW1、FW2 上 ,在 交换 机 和 防火 墙 之 间接 入 
设备 ,进行 网 桥 模式 部 署 , 单 进 双 出 多 网 口 模式 如 图 10. 2 所 示 。 

运行 环境 2: 为 了 加 强 网 络 的 稳定 性 ,减少 单 点 故障 ,内 网 核心 交换 和 路 由 器 都 采用 双 
机 方案 。 这 种 环境 下 可 以 加 入 两 台 设 备 做 网 桥 , 双 进 单 出 进行 多 网 桥 模式 部 署 , 如 图 10. 3 
所 示 。 

2. 多 网 桥 

多 网 桥 是 指 一 台 设备 可 以 做 多 个 网 桥 ,相当 于 多 个 交换 机 。 和 网 桥 多 网 口 的 区 别 是 : 
设备 的 ARP 表 维 持 多 份 ; 内 外 网 口 一 一 对 应 ; 网 口 属 于 同一 个 网 桥 才 能 进行 数据 转发 ,不 
同 网 桥接 口 之 间 的 数据 不 能 转发 。 多 网 桥 一 般 适用 于 以 下 几 种 情况 。 

运行 环境 1: 设备 一 进 一 出 做 单 网 桥 , 如 图 10.4 所 示 。 
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图 10.2 单 进 双 出 多 网 口 模式 图 10.3 双 进 单 出 多 网 口 模式 图 10.4 一 进 一 出 单 网 桥 


运行 环境 2: 适用 于 客户 内 网 有 VRRP 或 HSRP 的 环境 , 架 上 设备 做 多 网 桥 , 实 现 基 本 
审计 控制 功能 的 同时 ,不 影响 客户 原 有 主 设备 的 切换 ,常见 的 应 用 环境 有 以 下 两 种 ,如 
图 10.5 所 示 。 


10.2.3 ŽRE 


旁 路 模式 在 实现 监控 控制 功能 的 同时 ,可 以 完全 不 改变 用 户 的 网 络 环境 ,并 且 可 以 避免 
设备 对 用 户 网 络 造成 中 断 的 风险 。 把 设备 接 在 交换 机 的 镜像 口 或 者 Hub 上 ,以 保证 内 网 用 
户 上 网 的 数据 经 过 此 交换 机 或 者 Hub. 并 且 设 置 镜像 口 时 需要 同时 镜像 上 下 行 的 数据 ,从 
而 实现 对 上 网 数据 的 监控 与 控制 。 这 种 模式 对 用 户 的 网 络 环境 完全 没有 影响 ,即使 死机 也 
不 会 对 用 户 的 网 络 造成 中 断 。 常 见 的 应 用 环境 有 以 下 两 种 ,如 图 10.6 所 示 。 


图 10.6 旁 路 模式 


10.3 上 网 行为 管理 的 基本 功能 


本 节 以 深信 服 的 上 网 行为 管理 SANGFORAC 系列 产品 为 例 ,介绍 上 网 行为 管理 的 基 
本 配置 ,产品 外 观 如 图 10. 7 所 示 。 其 中 ,1. 控制 口 ,2. ETH3(WAN2),3. ETH1 (DMZ2)， 
4. ETH2(WAN1),5. ETHO(LAN) ,6. 电源 灯 ,7. 告警 灯 。 


图 10.7 SANGFORAC 产品 外 观 


ETHO 接口 的 IP 地 址 默认 为 10.251.251.251/24, 将 SANGFORAC 接 入 到 网 络 后 ， 
在 IE 中 输入 “https://10. 251. 251. 251”, 即 可 登录 到 SANGFORAC 设备 的 主 界面 ,如 
图 10. 8 所 示 。 从 主 界面 可 以 看 出 ,该 设备 具有 防火 墙 \ 流 量 管理 、 上 网 策略 管理 ,安全 防护 
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10.8 SANGFORAC 主 界面 


10.3.1 上 网 策略 


该 策略 用 于 对 上 网 策略 进行 管理 ,管理 员 可 以 根据 内 网 用 户 的 权限 分 配 情况 ,设置 不 同 
的 上 网 策略 。 上 网 策略 分 为 以 下 6 种 类 型 。 

。 上 网 权限 策略 。 

。 上 网 审计 策略 。 

。 上 网 安全 策略 。 

。 终端 提醒 策略 。 

。 流量 配额 与 时 长 控制 策略 。 

。 准 入 策略 。 

本 节 介 绍 其 中 的 上 网 权限 策略 和 上 网 审计 策略 ,其 他 策略 不 再 一 一 和 叙述, 感 兴趣 的 读者 
可 以 参考 网 康 或 深信 服 的 官网 进行 进一步 的 了 解 。 

1. 上 网 权限 策略 

上 网 权限 策略 包括 应 用 控制 .Web 过 滤 和 邮件 过 滤 。 

通过 应 用 控制 的 设置 ,可 以 对 内 网 用 户 连接 公 网 的 应 用 进行 控制 ,允许 或 者 拒绝 某 些 上 
网 应 用 。 设 备 提供 多 种 应 用 控制 的 方式 ,其 中 包括 应 用 控制 .端口 控制 .代理 控制 。 应 用 控 
制 是 通过 对 网 络 数据 应 用 层 的 特征 分 析 , 来 实现 对 某 种 应 用 的 控制 。 设 备 中 有 针对 各 种 常 
见 网 络 应 用 设置 的 应 用 规则 库 ,应 用 服务 控制 正 是 引用 了 这 些 规 则 来 实现 应 用 控制 的 。 端 
口 控制 是 通过 对 数据 包 的 TP 地 址 .协议 号 .端口 号 进行 检测 ,从 而 实现 对 上 网 数据 的 控制 。 

Web 过 滤 可 以 对 内 网 用 户 通过 HTTP, HTTPS 协议 访问 网 站 的 行为 进行 控制 , 它 包 
括 对 访问 网 站 的 URL 进行 过 滤 、 对 搜索 引擎 搜索 关键 字 进 行 过 滤 、 对 通过 HTTP 协议 上 传 
的 关键 字 进 行 过 滤 、 对 通过 HTTP 协议 上 传 和 下 载 的 文件 类 型 进行 过 滤 。 


邮件 过 滤 用 于 对 内 网 客户 端 通过 SMTP 协议 发 送 的 邮件 进行 过 滤 ,过 滤 的 条 件 可 以 设 
置 为 收发 邮件 地 址 .邮件 标题 和 正文 的 关键 字 等 。 同 时 可 以 设置 邮件 延迟 审计 。 设 置 邮 件 
延迟 审计 后 ,符合 条 件 的 邮件 只 有 在 通过 管理 员 审 核 后 才 可 以 发 出 。 另 外 ,垃圾 邮件 过 滤 也 
是 在 此 处 启用 的 。 

3 课业 任务 10-1 

Bob 是 WYL 公司 的 安全 运 维 工 程 师 , 近 段 时 间 ,不 断 有 公司 员工 反应 在 上 班 时 间 段 浏 
览 网 页 或 收发 邮件 的 速度 非常 慢 。 经 检测 , Bob 发 现 市 场 部 有 个 别 员工 在 上 班 时 间 段 使 用 
P2P 软件 下 载 文 件 或 视频 ,占用 了 公司 的 网 络 带宽 。Bob 采用 SANGFORAC 设备 ,禁止 市 
场 部 员工 在 上 班 时 间 使 用 P2P 服务 。 

具体 操作 步骤 如 下 。 

CD 在 如 图 10. 9 所 示 的 SANGFORAC 主 界面 中 选择 【导航 菜单 >【 用 户 与 策略 管理 】> 
【上 网 策略 3 选项 ,在 页 面 右 侧 单 击 【 新 增 ] 按 钮 ,选择 [上 网 权限 策略 3 选项 ,在 弹出 的 如 
图 10. 10 所 示 的 界面 中 ,选择 【启用 该 策略 ] 复 选 框 ,并 输入 新 增 策略 的 名 称 和 描述 信息 。 本 
任务 的 【策略 名 称 】 是 【 封 堵 P2P 应 用 】,【 描 述 信息 】 是 【针对 市 场 部 门 】, 如 图 10. 10 所 示 。 
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第 略 名 称 : 。 封 堵 P2p 应 用 
BEES: SATAS 


10.10 上 网 权限 策略 设置 


(2) 在 如 图 10. 10 所 示 的 界面 中 选择 【策略 设置 选项 卡 ,在 [上 网 权限 策略 ] 区 域 中 选 
择 [ 应 用 控制 ] 复 选 框 ,在 右边 的 [应 用 控制 ] 区 域 中 单 击 [ 添 加 按钮 添加 一 条 新 的 应 用 控制 10 
策略 。 
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(3) 在 如 图 10. 10 所 示 的 对 话 框 中 , 单 击 [ 应 用 J 下 方 的 B 图 标 ,弹出 【选择 应 用 对话 框 ， 
使 用 模糊 搜索 树 结 点 功能 ,搜索 出 所 有 与 P2P 有 关 的 应 用 ,并 选中 该 复 选 框 , 如 图 10. 11 所 示 。 


图 10.11 选择 P2P 应 用 


(4) 在 如 图 10. 12 所 示 的 界面 中 ,在 [生效 时 间 】 下 拉 列 表 中 选择 [上 班 时 间 】 选 项 ,在 
【动作 】 下 拉 列 表 中 选择 [拒绝 〗 选 项 , 单 击 【确定 按钮 ,完成 P2P 应 用 的 拒绝 设置 。 
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10.12 上 网 策略 设置 界面 


(5) 在 如 图 10. 13 所 示 的 页 面 中 ,选择 【适用 组 和 用 户 】 选 项 卡 , 进 行 策略 与 用 户 / 组 关 
联 。 本 任务 选择 [市 场 部 门 复 选 框 , 单 击 【提交 3 按钮 .完成 整个 策略 设置。 
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图 10.13 设置 用 户 / 组 的 关联 


至 此 ,市 场 部 员工 在 上 班 时 间 就 被 禁止 使 用 P2P 服务 了 。 

2. 上 网 审计 策略 

上 网 审计 策略 包括 应 用 审计 、 外 发 文件 告警 .流量 与 上 网 时 长 审计 、 网 页 内 容 审计 。 

应 用 审计 可 对 内 网 用 户 通过 设备 访问 外 网 的 行为 和 内 容 进 行 审 计 , 审 计 对 象 包括 
HTTP 外 发 内 容 \ 访 问 网 站 .邮件 IM 聊天 内 容 .FTP Telnet, 网 络 应 用 行为 等 。 

外 发 文件 告警 用 于 对 所 有 外 发 的 并 且 被 记录 下 来 的 文件 进行 告警 检查 ,如 果 内 网 用 户 
发 送 特定 类 型 的 文件 ,那么 设备 会 发 告警 给 管理 员 。 此 处 的 文件 检测 并 非 只 是 根据 文件 扩 
展 名 进行 的 简单 判断 ,设备 通过 深入 分 析 数 据 特征 得 到 文件 的 类 型 ,所 以 ,即使 内 网 用 户 在 
发 送 相应 的 文件 时 修改 了 文件 扩展 名 ,或 者 将 文件 压缩 后 进行 传输 ,设备 都 可 以 检测 出 来 。 

流量 与 上 网 时 长 审计 用 于 设置 是 否 统计 各 种 应 用 的 流量 和 时 长 。 如 果 选 择 了 统计 各 种 
应 用 的 流量 和 时 长 ,那么 在 设备 的 数据 中 心 可 以 查询 到 内 网 访问 公 网 的 各 种 应 用 的 流量 和 
访问 时 间 。 

网 页 内 容 审计 用 于 设置 是 否 对 内 网 用 户 访问 互联 网 网 页 的 网 页 内 容 进 行 审计 ,可 以 通 
过 此 处 的 设置 审计 网 页 标题 .正文 内 容 , 以 及 指定 只 审计 网 页 中 含有 特定 关键 字 的 网 页 内 
容 , 过 滤 网 页 中 含有 特定 关键 字 的 网 页 。 此 项 如 果 开 启 ,将 消耗 大 量 设备 性 能 , 需 慎 用 。 

A 课业 任务 10-2 

Bob 是 WYL 公司 的 安全 运 维 工程 师 , WYL 公司 被 当地 公安 局 网 络 监察 处 执行 严厉 处 
罚 , 原 因 是 查 出 该 企业 内 有 员工 在 网 上 发 布 了 违反 法 律 的 信息 ,但 是 无 法 查 出 是 哪 位 员工 所 
Jy, Bob 在 SANGFORAC 设备 上 设置 一 条 审计 Web BBS 发 帖 内 容 、 审 计 用 户 访问 网 页 的 
行为 策略 。 

具体 配置 步骤 如 下 。 

(1) 在 如 图 10. 14 所 示 的 界面 中 选择 [上 网 审计 策略 3 选项 中 的 【应 用 审计 ] 复 选 框 ,在 
右边 的 [应 用 审计 区 域 中 单 击 【添加 了 按钮 添加 一 条 新 的 审计 策略 。 
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10.14 添加 应 用 审计 


(2) 在 如 图 10. 14 所 示 的 界面 中 , 单 击 【审计 对 象 】 下 方 的 草图 标 ,弹出 如 图 10. 15 所 
示 的 【选择 审计 对 象 】 界 面 。 
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图 10.15 选择 审计 对 象 
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选择 [HTTP 外 发 内 容 ] 选 项 ,在 右边 相应 的 详细 配置 模块 中 选择 [Web BBS 的 发 帖 内 
容 】 复 选 框 ,如 图 10.15 所 示 。 此 项 用 于 审计 内 网 用 户 在 论坛 发 帖 的 内 容 。 

选择 [访问 网 站 /下 载 】 选 项 ,在 右边 相应 的 详细 配置 模块 中 选择 [访问 的 URLI EHE, 
选择 [所 有 URL3 单 选 按钮 ,如 图 10. 16 所 示 。 此 项 可 审计 用 于 记录 内 网 用 户 访 问 网 页 
的 URL。 
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10.16 选择 访问 的 URL 


选择 需要 审计 的 选项 后 , 单 击 【确定 了 按钮 ,返回 如 图 10. 14 所 示 的 【应 用 审计 了 界面 。 

G) 在 如 图 10. 17 所 示 的 界面 中 ,在 【生效 时 间 】 下 拉 列 表 中 选择 【全 天 】 选 项 ,在 [动作 】 
下 拉 列 表 中 选择 【审计 】 选 项 , 单 击 【 确 定 ] 按 钮 ,完成 Web BBS 的 发 帖 内 容 设置 ,如 图 10. 18 
所 示 。 此 项 用 于 审计 Web BBS 的 发 帖 内 容 、 用 户 访问 网 页 的 行为 的 日 志 策 略 等 。 
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10.17 设置 应 用 审计 
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10.18 应 用 审计 设置 完成 界面 


(4) 通过 以 上 设置 ,就 可 以 在 SANGFORAC 的 内 置 数据 中 心 查看 具体 Web BBS 的 发 
帖 内 容 和 用 户 访问 网 页 的 行为 ,如 图 10. 19 和 图 10. 20 所 示 。 


10.3.2 流量 管理 


流量 管理 是 通过 建立 流量 管理 通道 对 各 种 上 网 应 用 的 流量 大 小 进行 控制 的 。 流 量 管理 
系统 提供 了 带宽 保证 和 带宽 限制 功能 。 通 过 带宽 保证 可 以 保证 重要 应 用 的 访问 带宽 ,通过 
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10.19 BBS 发 帖 内 容 审计 
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10.20 用 户 访问 网 页 审计 


带宽 限制 可 以 做 到 限制 用 户 组 /用 户 上 下 行 总 带宽 、 各 种 应 用 的 带宽 等 。 

1. 流量 通道 的 概念 

流量 通道 根据 服务 类 型 访问 控制 用 户 组 ,把 整个 带宽 按 百分比 分 解 成 若干 份 ,这 样 每 一 
份 是 一 个 流量 通道 。 根 据 流 量 通道 的 作用 可 以 分 为 带宽 保证 通道 和 带宽 限制 通道 。 当 流量 
管理 系统 处 于 启用 状态 ,数据 经 过 设备 时 ,会 根据 数据 的 相关 信息 匹配 流量 通道 。 匹 配 的 条 
件 包括 用 户 组 /用 户 IP 地 址 、 应 用 类 型 生效 时 间 、 目 标 IP. 组 , 当 数据 包 的 所 有 条 件 都 满足 
时 , 即 匹配 到 通道 。 

2. 带宽 保证 通道 

在 带宽 保证 通道 中 ,不 仅 设置 此 通道 的 最 大 带宽 ,而 且 设 置 最 小 带宽 。 当 网 络 繁忙 时 ， 
保证 该 通道 的 带宽 不 小 于 设置 的 最 小 带宽 值 。 

A 课业 任务 10-3 

Bob 是 WYL 公司 的 安全 运 维 工 程 师 , 公 司 租用 了 一 条 10Mbps 电信 线路 ,内 网 有 1000 | 第 
名 上 网 用 户 ,为 保证 财务 部 访问 网 上 银行 网 站 和 收发 邮件 的 数据 在 线路 繁忙 时 占用 带宽 不 “| 10 

* 


上 网 行为 营 理 
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小 于 2Mbps, 同 时 最 大 也 不 超过 5Mbps. Bob 采用 SANGFORAC 进行 流量 管理 。 
具体 操作 步骤 如 下 。 
A) 在 SANGFORAC 主 界面 中 ,选择 [流量 管理 >【 虚 拟 线路 配置 3 选项 ,在 右 侧 区 域 
单 击 【线路 1 选项 ,在 弹出 的 [编辑 虚拟 线路 】 对 话 框 中 将 [上行 【下行 ] 均 设置 为 1. 25Mbps， 
单 击 【提交 按钮 ,如 图 10. 21 所 示 。 


ELE 


8 没有 对 应 的 碟 执 如 路 规则 , . 


编辑 虚拟 线路 


10.21 线路 带宽 编辑 


(2) 在 如 图 10. 22 所 示 的 界面 中 ,选择 【流量 管理 ]->【 通 道 配 置 ] 选 项 ,选择 【启用 流量 
管理 系统 ] 复 选 框 ,启用 流量 管理 。 
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10.22 启用 流量 管理 系统 


(3) 本 任务 是 对 财务 部 人 员 访 问 网 上 银行 类 别 的 网 站 以 及 收发 邮件 的 数据 进行 带宽 保 
证 。 在 如 图 10. 23 所 示 的 界面 中 选择 [新 增 一 级 通道 3 选项 。 
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以 醒 板 新 增 。 


图 10.23 新 增 通道 


(4) 在 弹出 的 如 图 10. 24 所 示 的 【新 增 一 级 通道 ] 对 话 框 中 选择 【启用 通道 ] 复 选 框 ,在 
【通道 名 称 】 文 本 框 中 输入 通道 的 名 称 , 本 任务 输入 “保证 财务 部 上 网 数据 ,选择 【通道 编辑 
菜单 >【 带 宽 通道 设置 ] 选 项 ,在 右边 的 [带宽 通道 设置 配置 模块 中 对 通道 的 相关 属性 进行 
配置 。 
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图 10.24 设置 新 增 通 道 的 相关 属性 


(5) 在 如 图 10. 24 所 示 的 对 话 框 中 ,选择 [通道 编辑 菜单 【通道 使 用 范围 ] 选 项 ,在 右 
边 的 【通道 使 用 范围 配置 模块 中 对 通道 的 使 用 范围 进行 配置 。 此 处 设置 的 范围 包括 适用 应 
用 、 适 用 对 象 . 生 效 时 间 和 目标 耳 组 ,这 些 条 件 需要 全 部 满足 ,才能 匹配 到 此 通道 ,如 图 10. 25 
所 示 。 


通道 使 用 范围 
通道 使 用 范围 
适用 应 用 : CER 
C Bes 
选择 自 定义 应 用 
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€ 自 定义 


生效 时 间 : 2K { 
REP: 5 ~ 


图 10.25 设置 通道 使 用 范围 


在 如 图 10. 25 所 示 的 界面 中 ,选择 【适用 应 用 中 的 【 自 定义 了 单 选 按钮 , 单 击 【选择 自 定 
义 应 用 3 链接 ,在 弹出 的 [ 自 定义 适用 服务 与 应 用 】 对 话 框 中 选择 应 用 类 型 和 网 站 类 型 。 本 任 
务 需 要 对 访问 网 上 银行 类 别 的 网 站 以 及 收发 邮件 的 数据 做 带宽 保证 ,所 以 此 处 选择 的 应 用 
为 邮件 /全 部 ,网 站 类 型 为 网 上 支付 和 个 人 银行 。 选 择 好 适用 应 用 后 , 单 击 【确定 3 按钮 保存 
返回 到 图 10. 25 所 示 的 界面 ,参数 设置 如 图 10. 26 所 示 。 
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图 10.26 设置 自 定 义 适 用 服务 与 应 用 


在 如 图 10. 25 所 示 的 界面 中 ,选择 [适用 对 象 ] 中 的 【 自 定义 了 单 选 按钮 , 单 击 【 选 择 自 定 
义 对 象 链 接 ,在 弹出 的 【 自 定义 适用 对 象 ] 对 话 框 中 ,设置 此 通道 对 哪些 用 户 、 用 户 组 ,IP E 
效 。 本 任务 需要 对 财务 部 的 所 有 用 户 做 带宽 保证 ,因此 此 处 选择 【财务 部 门 3 用 户 组 。 选 择 
好 适用 对 象 后 , 单 击 【 确 定 ] 按 钮 保存 返回 到 图 10. 25 所 示 的 界面 ,如 图 10. 27 Bros. 
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图 10.27 设置 自 定义 适用 对 象 


(6) 完成 以 上 配置 后 ,在 【带宽 分 配 ] 界 面 中 就 会 出 现 新 增 的 一 级 通道 的 详细 信息 ,如 
图 10. 28 所 示 。 
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10.28 新 增 一 级 通道 的 详细 信息 


3. 限制 通道 
限制 通道 可 设置 通道 的 最 大 带宽 。 对 于 匹配 到 此 限制 通道 的 数据 进行 流量 控制 ,控制 
占用 带宽 不 得 超过 设置 的 最 大 带宽 值 。 
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1. 简 答 题 

(1) 上 网 行为 管理 系统 有 哪些 基本 功能 ? 

(2) 一 直 以 来 ,很 多 国外 的 产品 和 技术 要 优 于 国内 ,所 以 用 户 在 选择 产品 时 优先 选择 国 
外 的 产品 ,你 认为 正确 吗 ? 为 什么 ? 

(3) 上 网 行为 管理 的 部 署 模式 有 哪 几 种 ? 它们 之 间 有 什么 区 别 ? 

(4) 上 网 行为 管理 系统 在 国内 的 主流 产品 有 哪些 ? 

2. 操作 题 

(1) E SANGFORAC 设备 上 设置 综合 策略 , 仅 允 许 用 户 在 上 班 时 间 访 问 网 页 (但 是 ， 
不 允许 访问 新 闻 和 娱乐 类 ) .邮件 和 IM, 其 他 时 间 不 进行 控制 ,并 审计 用 户 的 所 有 上 网 行为 
和 IM 聊天 记录 。 在 用 户 上 班 时 间 ,如 果 浏 览 网 页 时 长 超过 3 个 小 时 , 则 每 30 分 钟 进行 一 
次 提醒 。 每 个 用 户 每 月 的 上 网 流量 只 有 20GB, 每 天 最 多 的 上 网 流量 为 2GB。 

(2) 公司 租用 了 一 条 10Mbps 电信 线路 ,内 网 有 1000 名 上 网 用 户 ,但 发 现 很 多 市 场 部 
员工 经 常 使 用 迅雷 、P2P 等 下 载 工具 进行 下 载 ,占用 了 大 部 分 带宽 ,影响 了 其 他 部 门 正 常 的 
办 公 业 务 。 通 过 流量 管理 ,系统 将 市 场 部 的 这 部 分 数据 占用 的 带宽 限制 在 2Mbps 之 内 ,并 
且 每 个 用 户 这 部 分 数据 的 占用 带宽 限制 在 30Kbps, 请 根据 要 求 在 SANGFORAC 上 设置 合 
理 带 宽 限制 策略 。 

G) 公司 租用 了 一 条 10Mbps 电信 线路 ,内 网 有 1000 名 上 网 用 户 。 现 要 保证 所 有 用 户 
的 HTTP 应 用 流量 在 繁忙 时 不 小 于 3Mbps, 最 大 不 能 超过 5Mbps。 另 外 ,因为 市 场 部 员工 
较 多 , 且 HTTP 应 用 比较 重要 ,所 以 要 在 此 保证 带宽 的 基础 上 保证 市 场 部 员工 的 HTTP 应 
用 流量 在 繁忙 时 不 小 于 1Mbps, 最 大 不 能 超过 2Mbps, 并 限制 市 场 部 单个 员工 使 用 HTTP 
应 用 时 的 占用 带宽 不 超过 20Kbps。 请 根据 要 求 设置 合理 的 流量 管理 系统 。 


上 网 行为 党 理 
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